
30 oktober 2020 Het professionele e-mailadres van de vertrokken werknemer mag niet meer worden gebruikt.
Vaak zien we dat e-mailadressen van werknemers na hun vertrek actief blijven zonder dat er melding wordt gegeven aan de ontvangers van de e-mails dat de afzenders niet langer de gebruikers van de e-mailadressen zijn. Dit kan aanleiding geven tot het verzamelen en potentieel gebruik van persoonsgegevens zonder medeweten van de bestemmelingen.
Het is aangewezen dat de werkgever de e-mailaccount van een ex-werknemer binnen de kortste termijn deactiveert, nadat een automatisch bericht werd ingesteld dat gedurende een redelijke termijn (a priori 1 maand) aangeeft dat de werknemer niet langer in dienst is. De e-mailaccount wordt idealiter na deze termijn afgesloten. In geen enkel geval mag het professionele e-mailadres van de vertrokken werknemer nog worden gebruikt.
Recent heeft de Gegevensbeschermingsautoriteit (GBA) beslist om een administratieve geldboete van 15.000,00 EUR op te leggen aan een onderneming die e-mailadressen gelinkt aan vertrokken werknemers slechts na 2,5 jaar heeft afgesloten. Volgens de GBA vormt het niet-afsluiten van deze e-mailadressen een inbreuk op de fundamentele principes van de GDPR, met name de rechtmatigheid, de doelbinding, de minimale gegevensverwerking en het redelijk behoud in de tijd van persoonsgegevens.
De GBA geeft in haar beslissing een aantal duidelijke richtlijnen mee die werkgevers steeds zouden moeten volgen bij het vertrek van hun medewerkers:
- de verwerkingsverantwoordelijke dient de e-mail-accounts van ex-werknemers te blokkeren ten laatste op het moment van hun effectief vertrek;
- de ex-werknemer moet hiervan op de hoogte zijn gebracht en er moet voorzien worden in een automatisch bericht waarin de geadresseerde erop wordt gewezen dat de persoon die hij probeerde te contacteren, de organisatie heeft verlaten;
- na een redelijke termijn (a priori een maand) moet de mailbox – en het automatisch bericht – verwijderd worden. De GBA wijst erop dat – rekening houdend met de context en de graad van verantwoordelijkheid van de ex-werknemer – een langere termijn voor het automatisch bericht kan voorzien worden, maar idealiter niet langer dan 3 maanden;
- vóór de deactivering dienen de werknemer die vertrekt en eventuele derden hierover geïnformeerd te worden, om de werknemer de mogelijkheid te geven zijn e-mails te sorteren en door te sturen naar zijn privé e-mailadres vóór zijn effectief vertrek;
- teneinde te vermijden dat de onderneming nog toegang dient te hebben tot de e-mailaccount van de ex-werknemer na zijn vertrek, dienen e-mails uit de e-mail-account van de betrokken werknemer, die van wezenlijk belang zijn om de goede werking van de onderneming te verzekeren, te worden gerecupereerd vóór het vertrek van de werknemer en in zijn aanwezigheid.
Het is aan de werkgever om, bij het vertrek van medewerkers, aan te tonen dat bovenvermelde stappen correct werden nageleefd.
Zorg er aldus voor dat uw ICT policy ook de procedure bij vertrek van een werknemer op correcte wijze beschrijft en dat deze procedure bij vertrek van uw werknemer strikt wordt nageleefd.