WAT DOE JE MET DE MAILBOX EN HET E-MAILADRES VAN EEN MEDEWERKER DIE HET BEDRIJF VERLAAT?

De Gegevensbeschermingsautoriteit (GBA) legde recent een geldboete van 15 000 € op aan een KMO die de mailadressen van enkele vertrokken medewerkers (met hun naam en voornaam in het mailadres) pas na 2,5 jaar had afgesloten.

 Naar aanleiding hiervan gaf de GBA enkele duidelijke richtlijnen door die een bedrijf best volgt bij behandeling van mails en mailboxen van medewerkers die het bedrijf verlaten. Informatie aan je medewerkers verstrekken en de afgesproken spelregels respecteren is cruciaal.

Meer informatie vind je hieronder:

De meeste bedrijven stellen mailadressen op met gebruik van naam en voornaam van hun medewerkers. Zo ook de betrokken KMO. Bij het vertrek van drie leden uit het managementteam had het bedrijf hun desbetreffende mailaccounts afgesloten, en werden de e-mails automatisch doorgestuurd naar een ander e-mailadres van de onderneming. Ze hadden dit gedaan zonder melding aan de afzenders dat de e-maileigenaars het bedrijf hadden verlaten, en zonder melding hiervan aan de betrokken medewerkers.

De GBA stelde dat de KMO door het niet afsluiten van de e-mailadressen niet heeft voldaan aan de principes van doelbinding, rechtmatigheid, minimale gegevensverwerking en opslagbeperking. Dat de KMO de e-mailadressen had behouden, om geen belangrijke professionele berichten te verliezen, gelet op de functies van de vertrokken personen en het gebrek aan overdracht van lopende dossiers, maakte volgens de GBA geen afdoende reden uit om de e-mailadressen te behouden.

De richtlijnen die hieruit volgden kunnen worden opgesomd volgens tijdstip voor of na vertrek.

Voorafgaand aan en bij het vertrek van medewerkers

  • Neem de hiernavolgende regels over de behandeling van professionele- en privémails bij het vertrek van medewerkers op in je ICT-policy en in de interne privacy policy voor je medewerkers. Hiermee ben je transparant naar alle betrokkenen en kent iedereen het te volgen proces.
  • Geef de betrokken medewerker de kans om zijn privémails te recupereren, en maak van de gelegenheid gebruik om alle belangrijke professionele mails hiervan te onderscheiden en te bewaren. Dit doe je in het bijzijn van de medewerker.
  • Informeer de medewerker dat zijn e-mailaccount wordt afgesloten op de vertrekdatum. Je kan dit ook al opnemen in je algemene IT- en interne privacy policy.
  • Stel vóór het blokkeren van het e-mailaccount een automatisch antwoord in waarin de afzender geïnformeerd wordt over het vertrek van de medewerker en met de contactgegevens van de vervanger of opvolger.
  • Sluit de mailbox van de medewerker af op datum van vertrek

Na vertrek van de medewerker

  • Laat het automatisch antwoord gedurende een beperkte tijd in werking. Er wordt één maand geadviseerd, en drie maanden wordt als uiterste aanvaard. Je dient de ex-medewerker in te lichten mocht je beslissen om de oorspronkelijke termijn (bv. 1 maand) te verlengen (naar bv. 3 maand). De werkgever kan gerechtvaardigd belang inroepen als wettelijke grondslag voor het tijdelijk verder gebruik van het e-mailadres van de betrokken medewerker.
  • Delete de mailbox onmiddellijk na stopzetting van de automatische beantwoording.

 

Gelet op het principe van de verantwoordingsplicht (“accountability”) komt het aan de werkgever toe om, bij het vertrek van medewerkers, te kunnen aantonen dat bovenvermelde stappen correct werden nageleefd.

Meer informatie hierover?

Neem vrijblijvend contact op met Ubora op www.ubora.be/contact

Heb je verdere vragen over de GDPR en de implementatie in jouw bedrijf ? Contacteer Ubora

Bart Ocket
Privacy-expert
+32 491 08 37 84

Rolf Vermeulen - Ubora

Rolf Vermeulen
Privacy-expert
+32 475 96 01 18

Karel Mol
Privacy-expert
+32 476 30 91 47