Zakelijke e-mail en privacy: wanneer mag je de mailbox van een werknemer controleren?
Recent boog het Gerechtshof Arnhem-Leeuwarden zich over de vraag of het monitoren van een zakelijk e-mailaccount van een werknemer is toegestaan.[1] In de desbetreffende zaak verweet ING een van haar werknemers dat hij in strijd handelde met de arbeidsovereenkomst en vermoedelijk betrokken was geweest bij verschillende strafbare feiten. Voldoende aanleiding om het zakelijke e-mailverkeer van de werknemer te monitoren, aldus ING.
Benieuwd naar wat het Hof ervan vindt? Je leest het in de onderstaande blog.
Controle zakelijke e-mail door werkgever
ING ontving in april 2021 een anonieme melding, waarin stond dat de werknemer betrokken was geweest bij witwassen en hypotheekfraude. Naar aanleiding van deze melding raadpleegde ING het incidentenregister. Daaruit bleek dat het Openbaar Ministerie (OM) en een (niet nader genoemde) overheidsinstantie in 2018-2019 een bevel aan ING hadden gegeven om informatie over verweerder te verstrekken, aangezien deze (vermoedelijk) betrokken was bij het plegen van strafbare feiten.
Gelet op de inhoud van de anonieme melding en de bevelen tot het verstrekken van informatie, was er volgens de ING voldoende aanleiding om de zakelijke e-mailaccounts van de werknemer te controleren.
Uit het onderzoek kwam naar voren dat de werknemer (i) niet-gemelde nevenwerkzaamheden (onder werktijd) verrichte, (ii) zijn zakelijke e-mailadres (inclusief handtekening met ING-logo) gebruikte voor privéaangelegenheden en (iii) meerdere keren – zonder zakelijke reden – de gegevens van ING klanten raadpleegde. Mede omdat het functioneren van de werknemer in 2018 en 2020 als onvoldoende werd beoordeeld, verzocht ING de kantonrechter de arbeidsovereenkomst te ontbinden.
De werknemer bepleitte dat het verzoek van ING moest worden afgewezen. Als het verzoek toch zou worden toegewezen, wenste de werknemer een transitievergoeding en een forse billijke vergoeding omdat ING ernstig verwijtbaar zou handelen.
Voorwaarden inzage werkgever werkmail
Voor het antwoord op de vraag of ING het zakelijke e-mailaccount van de werknemer mocht monitoren, verwijst het hof naar de uitspraak van het Europees Hof voor de Rechten van de Mens (EHRM) in de zaak Bărbulescu.[2] Daarin worden de volgende richtsnoeren gegeven:
I. Is de werknemer vooraf geïnformeerd over (de aard van) de mogelijke monitoring van correspondentie en andere communicatie door de werkgever?
II. Wat is de omvang van de monitoring en hoe ernstig is de inbreuk op de privacy van de werknemer?
III. Heeft de werkgever legitieme gronden die de toegepaste monitoring rechtvaardigen?
IV. Was monitoring met minder indringende methoden en maatregelen mogelijk geweest?
V. Welke gevolgen heeft de monitoring voor de werknemer gehad?
VI. Zijn de werknemer adequate waarborgen geboden, in het bijzonder bij indringende vormen van monitoring?
In de Bărbulescu-richtlijnen zie je verschillende kernbegrippen en -waarden uit de Algemene Verordening Gegevensbescherming (AVG) terugkomen: (ad I.) transparantie/informatieplicht, (ad II.) proportionaliteit, (ad III.) gerechtvaardigd belang van de verwerkingsverantwoordelijke en (ad IV.) subsidiariteit.
Volgens het hof moeten deze richtsnoeren in onderlinge samenhang worden bezien, waarbij het gewicht dat wordt toegekend aan de verschillende richtsnoeren afhankelijk is van de omstandigheden van het geval. Het niet voldoen aan één van de richtsnoeren, hoeft dus niet perse in negatieve zin doorslaggevend te zijn.
Volgens het hof staat vast dat de werknemer van ING niet vooraf is geïnformeerd over (de aard van) de mogelijke monitoring (richtsnoer I). Wat betreft richtsnoer III, heeft ING aangevoerd dat zij een gerechtvaardigd belang (legitieme reden) had om de e-mails van de werknemer te controleren, namelijk het voorkomen/bestrijden van financieel economische delicten. Deze poortwachtersfuncties wordt ook door de wetgever onderschreven.
Wat betreft de overige richtsnoeren, is er volgens het hof nog onvoldoende bekend om een sluitend oordeel te geven. Zonder kennis over de aard en inhoud van de meldingen, kan het hof niet beoordelen of het monitoren van het e-mailaccount proportioneel was. Zij kan evenmin vaststellen of de beschuldigingen direct verband houden met de meldingen of dat er slechts sprake was van ‘bijvangst’.
Het hof stelt ING dan ook in de gelegenheid om aanvullend bewijs aan te dragen en houdt iedere verdere beslissing aan.
Mag werkgever werkmail van werknemers lezen?
Er zitten aardig wat haken en ogen aan het monitoren van een zakelijk e-mailaccount. Allereerst dient de werknemer vooraf geïnformeerd te worden over (de aard van) de mogelijke monitoring. Dit kan via een intern protocol of door dergelijke bepalingen te verwerken in de gedragsregels.
De werkgever dient ook een gerechtvaardigd belang te hebben bij het monitoren van het zakelijke e-mailverkeer. Denk bijvoorbeeld aan het beschermen van bedrijfsgeheimen of het voorkomen/bestrijden van strafbare feiten.
Zelfs wanneer aan al deze richtsnoeren is voldaan, kan het monitoren alsnog niet toegestaan zijn wanneer dit disproportioneel of anderszins niet noodzakelijk is.
Het monitoren van een zakelijk e-mailaccount is dus een verstrekkende maatregel waar een uitgebreide belangenafweging aan vooraf dient te gaan. Ben je voornemens om deze maatregel toch in te zetten? Neem dan contact op met Marlies Hol. Wij helpen je graag bij het inventariseren van de mogelijkheden/risico’s.
[1] Gerechtshof Arnhem-Leeuwarden 5 juli 2022, ECLI:NL:GHARL:2022:6203 (ING/Verweerder)
[2] EHRM 5 september 2017, ECLI:CE:ECHR:2017:0905JUD006149608 (Bărbulescu).