Een duidelijk IT-beleid invoeren is een must want anders moet een afzonderlijke toestemming gevraagd worden om toegang te krijgen tot de mailbox van de werknemer, terwijl er mogelijks op dat moment een tegengesteld belang bestaat en de arbeidsrelatie de toestemming van de werknemer sowieso precair maakt.

In een IT-policy kan je vooreerst bepalen hoe een e-mailbox georganiseerd en gebruikt moet worden.

Denken we o.a. aan:   

Vervolgens moet aangeduid worden in welke mate en onder welke voorwaarden de werkgever elektronisch toezicht uitoefent. Controle moet immers altijd binnen de verwachtingen van de werknemer liggen.

De werkgever is niet helemaal vrij om eender wat op te nemen en op te leggen in een IT-beleid.  Elk punt is onderhevig aan een afweging van belangen, en dus ook van de belangen van de werknemer.  Daarbij is het aan te raden om de (gerechtvaardigde) belangen van de onderneming te omschrijven zodat deze duidelijk en gekend zijn. 

 

In het IT-beleid moet in elk geval het doel van de controle van de e-mails worden opgenomen.  De mogelijk doelen zijn wettelijk beperkt tot vier, waaronder het voorkomen van ongeoorloofde feiten en bescherming van de economische, handels- en financiële belangen van de onderneming.

In beginsel is in deze gevallen enkel een globale controle mogelijk en is maar een individualisering van de verzamelde gegevens mogelijk wanneer er onregelmatigheden zijn vastgesteld m.b.t. de vooropgestelde doelen.  Iedere controle moet bovendien steeds tot een absoluut minimum beperkt worden. 

Ingeval van afwezigheid van de werknemer is het kunnen opvolgen van de e-mailbox in het belang van de continuïteit van de onderneming. Om een inmenging in de privacy van de werknemer te vermijden, wordt er best een out-of-office ingesteld.  De melding kan ook meer inhouden dan de loutere melding dat de bestemmeling van de e-mail afwezig is.  Het zou ook kunnen aangeven naar waar de verzender de e-mail kan sturen.  Vanuit dat standpunt is het interessant dat de melding in onderling overleg wordt uitgeschreven. Dit staat los van een controle van de e-mailbox. 

Nog beter is dat elke binnenkomende e-mail, zeker bij een langdurige afwezigheid, automatisch wordt doorgestuurd naar een collega, bij voorkeur een op voorhand aangeduide vertrouwenspersoon, zodat er geen belangrijke zakelijke informatie verloren kan gaan.  Hierover moeten eveneens duidelijke richtlijnen worden uitgeschreven in het IT-beleid. 

Bij het einde van de samenwerking komen ook het blokkeren van de toegang tot de e-mailbox en het definitief afsluiten ervan aan de orde.

  

Voorafgaand hieraan, zouden zowel de werknemer als de werkgever de gelegenheid moeten hebben om respectievelijke persoonlijke en professionele e-mails te behouden en een out-of-office te installeren.  Om discussie en misbruik tegen te gaan is het aangewezen om dit samen te doen. 

Wanneer de e-mailbox persoonsgegevens bevat, en dit het geval als het e-mailadres bestaat uit een voor- en achternaam, dient de e-mailbox definitief te worden afgesloten.  De geschillenkamer van de gegevensbeschermingsautoriteit vindt één (1) maand een redelijke periode hiervoor, maximum drie (3) maanden, afhankelijk van de context en de mate van verantwoordelijkheid van de werknemer. Wanneer het een functionele e-mailadres betreft, bvb ‘marketing@odigo.eu’, hoeft de e-mailbox niet afgesloten te worden.  

Kortom, bij een out-of-office, regel de e-mailbox in-the-office!

Ilse Declerck & Jan Coninx