ArticlePDF Available

Is een regeling voor gebruik van e-mail door werknemers nodig?

Authors:

Abstract

Op 28 december 2021 deed het gerechtshof Den Bosch ('hof') een uitspraak over de vraag of een werkgever zakelijke mails van zijn (voormalige) werknemer mag lezen en onder welke omstandigheden. Dat arrest wekt verbazing, omdat het anders dan het gerechtshof Den Haag, meent dat deze zaak nog onder de werking van de Wet bescherming persoonsgegevens (Wbp) valt. Ook zijn de door het hof genoemde regels niet te rijmen met de grondslagen voor verwerking zoals die in de AVG en Wbp staan.
BOOKSHOP EXPERTGIDS PARTNERS VACATUREBANK
JURISPRUDENTIE – SAMENVATTINGEN JURISPRUDENTIE – UITSPRAKEN WETGEVING NASLAG
Is een regeling voor gebruik van e-mail door
werknemers nodig?
Op 28 december 2021 deed het gerechtshof Den Bosch (‘hof’) een uitspraak over de vraag of een werkgever zakelijke mails van
zijn (voormalige) werknemer mag lezen en onder welke omstandigheden. Dat arrest wekt verbazing, omdat het anders dan het
gerechtshof Den Haag, meent dat deze zaak nog onder de werking van de Wet bescherming persoonsgegevens (Wbp) valt. Ook
zijn de door het hof genoemde regels niet te rijmen met de grondslagen voor verwerking zoals die in de AVG en Wbp staan.
Caroline Raat
5 jan 2022
Samenvatting werknemer werkvloer
Wel of geen overgangsrecht
Het hof meent dat er wel een overgangsrecht is, terwijl het
gerechtshof Den Haag in het geruchtmakende
kerkgenootschaparrest van 17 september 2019
(ECLI:NL:GHDHA:2019:2398) heeft aangegeven dat dit er niet
is:
“4.4 Ingevolge art. 48 lid 10 van de Uitvoeringswet AVG (Stb. 2018,
144) is de Wbp van toepassing op schriftelijke verzoeken als bedoeld
in art. 46 Wbp die op het moment van inwerkingtreding van de
Uitvoeringswet AVG reeds aanhangig zijn bij de rechtbank. De
Uitvoeringswet AVG is in werking getreden op 25 mei 2018 (Stb.
2018, 145). (…) Op 25 mei 2018 is echter de Verordening (EU) 2016/679 betreende de bescherming van natuurlijke personen in verband
met de verwerking van persoonsgegevens en betreende het vrije verkeer van die gegevens (Pb. EU L 119/1 van 4 mei 2016) (hierna: AVG)
van toepassing geworden (vgl. art. 99 leden 1 en 3 AVG). De AVG is vanaf die datum verbindend en is rechtstreeks toepasselijk in elke
ECLI:NL:GHSHE:2021:3862
Privacy - Terms
lidstaat (art. 99 lid 3 AVG), dus: ongeacht de eventuele toepasselijkheid van de Wbp ingevolge art. 48 lid 10 Uitvoeringswet AVG. Tegen
deze achtergrond vat het hof art. 48 lid 10 Uitvoeringswet AVG aldus op, dat de Wbp haar gelding blijft behouden op verzoekschriften die
vóór 25 mei 2018 bij de rechtbank zijn ingediend, doch uitsluitend voor zover het gaat om onderwerpen die niet door de AVG, maar door
het nationale recht, worden bestreken en voor zover de Wbp niet in strijd is met de AVG.”
Deze redenering is correct: er was al een EU ‘overgangsrecht’ vanaf 25 mei 2016, en dat was op 25 mei 2018 voorbij. Het stond de
nationale wetgever niet vrij om in strijd met de regels in de AVG zelf nóg een overgangsrecht te creëren. Hieraan heeft het hof in
dit arrest echter geen enkele aandacht besteed.
Regeling of arbeidsovereenkomst als verwerkingsgrondslag
Nog meer verbazing wekt het dat het hof in r.o. 6.5.2. schrijft:
“De werkgever kan de e-mailberichten van zijn werknemer slechts controleren indien voor de werknemer kenbaar is of kan zijn dat zijn
emailberichten kunnen worden gecontroleerd door de werkgever (bijvoorbeeld via een personeelsreglement of op grond van de
arbeidsovereenkomst), er sprake is van een gerechtvaardigd doel en er voldaan is aan de proportionaliteitseis. Evenmin is in geschil dat
ook wanneer voor de werknemer niet kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd, controle van die
berichten door de werkgever toelaatbaar kan worden geacht. Dan moet echter wel sprake zijn van zodanige omstandigheden, dat aan
geen twijfel onderhevig is dat een gerechtvaardigd doel wordt gediend en dat is voldaan aan de proportionaliteitseis.”
Vervolgens maakt het hof duidelijk dat inhoudelijke controle van de mails van de appellante, een inmiddels vertrokken
werknemer, niet had gemogen:
“Vast staat verder dat volgens het Personeelshandboek (pagina 2) binnen Access World had te gelden dat “van alle gebruikers van
internet en email binnen de organisatie wordt professioneel en integer handelen verwacht. Inhoudelijke controle van het internet en
emailgebruik kan plaatsvinden bij een vermoeden van handelen in strijd met de regels in de gedragscode IT Policy”. De door Access
World aangevoerde gronden kunnen in het licht van het bovenstaande de inbreuk op de privacy van [appellante] niet rechtvaardigen.
Van enig vermoeden van handelen in strijd met de regels in de gedragscode IT policy is niet gebleken en dat wordt ook niet door Access
World aangevoerd. Verder valt niet in te zien waarom Access World niet gewoon aan appellante had kunnen vragen of zij de zakelijke e-
mail vanwege de door haar aangevoerde omstandigheden (volledig beeld van de bij [appellante] in behandeling zijnde dossiers) mocht
inzien. Zelfs een poging daartoe is niet gedaan. Appellante was bovendien nog in dienst van Access World.”
De verwerking was volgens het hof onrechtmatig, maar dat leidde niet tot schadevergoeding.
Wel raadzaam, maar geen plicht
De vraag is of het oordeel van het hof wel klopt. Is zo’n regeling nodig als grondslag, of bestaat die al in de AVG zelf? Het is, zo
blijkt ook uit informatie van de AP, raadzaam, mede gelet op het instemmingsrecht art. 27, eerste lid, aanhef en onder k, van de
Wet op de ondernemingsraden, dat een werkgever een regeling (‘protocol’) voor e-mail- en internetgebruik heeft, en
belangrijke zaken goed regelt in de arbeidsovereenkomst, vooral omdat hierin afspraken kunnen staan over het privégebruik van
mail en internet.
Anders dan het hof schrijft, is er echter geen wettelijke plicht voor het hebben van zo’n e-mailreglement volgens de AVG (en
Wbp). De AVG geeft in art. 12 t/m 14 aan dat betrokkenen, waaronder werknemers, recht hebben op transparante informatie over
de verwerking van hun gegevens door de werknemer – dit is het kenbaarheidsvereiste waar het hof op doelt. De werkgever is
verwerkingsverantwoordelijke met betrekking tot bedrijfsmail en –internet en moet daarom in een ‘privacystatement’ in
heldere taal uitleggen wat er met persoonsgegevens van betrokkenen gebeurt en waarom. Daarin moet hij de risico’s, de regels
die ervoor gelden, de waarborgen en de manier waarop zij hun rechten kunnen uitoefenen uitleggen. Dat betekent echter nog
niet dat er ook een regeling moet zijn voor het gebruik van mail. De uitzondering die het hof formuleert, te weten dat er geen
enkele twijfel zou zijn aan het gerechtvaardigd belang, is veeleer een hoofdregel.
Privacystatement: regeling volgens de Wor of niet?
Het is de vraag wat de aard is van zo’n statement over het gebruik van e-mail en internet, dat zich immers niet speciek richt op
werknemers, maar ook op zzp’ers, klanten en anderen. Het is geen personeelsregeling. Ook schept zo’n statement geen
bevoegdheden voor de werkgever of rechten en plichten voor de werknemer die onder het instemmingsrecht van de
ondernemingsraad valt (mvt, Kamerstukken II, 1969/1970, 10335, nr. 3, p. 24). Uiteraard is het wel raadzaam om dit met de
ondernemingsraad te bespreken.
Privacy - Terms
Pas als er een speciek reglement voor privégebruik van deze digitale middelen wordt gemaakt, geldt het instemmingsrecht van
artikel 27, eerste lid, onder k, van de Wor. In principe is namelijk alleen een regeling die als doel heeft persoonsgegevens te
verwerken of te beschermen instemmingsplichtig, zo volgt uit de wetsgeschiedenis: “In de term ‘regelingen inzake registratie
van persoonsgegevens’ ligt besloten dat daaronder mede valt een besluit tot het aanleggen van een registratie en regelingen
inzake het verkrijgen en verzamelen van persoonsgegevens.” (mvt, Kamerstukken II, 24 615, nr. 3, p. 43). Dat verwerking van
persoonsgegevens van werknemers een gevolg is van, bijvoorbeeld, het hebben van e-mail en internet voor zakelijk gebruik,
maakt niet dat deze middelen dat ook ten doel hebben.
Gerechtvaardigd belang en proportionaliteit
Een werkgever mag op grond van artikel 6 van de AVG (grondslagen voor rechtmatige verwerking) best veel. De belangrijkste
grondslag is de ‘f-grond’:
“De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een
derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van
persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”
De f-grond is bewust ruim geformuleerd en verplicht niet tot nadere regelingen, zoals die voor het gebruik van mail en internet
door werknemers.
Zakelijke mail van zijn werknemers mag de werkgever op deze grond bijvoorbeeld lezen zodra dat in het concrete geval nodig is.
Bijvoorbeeld als de werknemer afwezig is, een klant hieraan refereert en er niet gewacht kan worden tot de werknemer weer
terug is. Vermoedens van fraude geven bijvoorbeeld volgens de AP ook een gerechtvaardigd belang. Er moet dan nog wel een
belangenafweging plaatsvinden, maar die zal redelijkerwijs in het voordeel van de werkgever uitvallen. In het geval van het
arrest was de werknemer nog wel in dienst bij de werkgever, maar in aanloop naar het vertrek vrijgesteld van werk, en er liepen
al geschillen. In zo’n geval lijkt het mij niet redelijk dat een commerciële werkgever toestemming zou moeten vragen aan de
werknemer voor het inzien van de zakelijke mail, gelet op zijn belang om zijn bedrijf normaal te kunnen voeren. Het oordeel
‘onrechtmatig’ is dan ook erg kort door de bocht.
Privémail mag vrijwel nooit worden gelezen door de werkgever, want daarvoor wegen de privacyrechten van de betrokkene
zwaarder. Het maakt bij deze f-grond geen verschil of hiervoor een reglement is of niet. De praktijk wordt natuurlijk lastig als
hierover onduidelijkheid bestaat in de organisatie en zakelijk en privé – ook in mailboxen en vaak zelfs binnen mailberichten –
door elkaar lopen.
Maak duidelijke afspraken
Zeker in deze tijd waarin toegang tot een eigen (gratis) mail, eigen telefoon met en internet en app-communicatie zo
gemakkelijk is en mensen vaak veel thuiswerken is het om de AVG goed na te leven en het risico op ‘lekken, hacken en crashen’
geen slecht idee om samen met werknemers na te denken over een principeverbod op privégebruik van zakelijke accounts en
servers: niet doen, tenzij met objectieve dringende reden.
Artikel delen
Privacy en arbeidsrecht
Na een korte inleiding waarin wordt stilgestaan bij onder meer de AVG en de UAVG, worden diverse privacy thema'sdie op de
werkvloer spelen behandeld.
BEKIJK OPLEIDING
Privacy op de werkvloer
Privacy - Terms
ResearchGate has not been able to resolve any citations for this publication.
ResearchGate has not been able to resolve any references for this publication.