In beginsel zijn de door je werknemers verstuurde e-mails privé, zelfs hij ze tijdens werktijd met zijn zakelijk mailadres heeft verstuurd (1). Dit ligt voor de hand omdat veel werknemers hun werkmailadres ook privé gebruiken. Bovendien gebruiken werkgevers deze adressen ook vaak om privégegevens aan werknemers te sturen, bijvoorbeeld gespreksverslagen en loonstroken. Omdat het openen van een mailbox als verwerking van persoonsgegevens in de zin van de AVG wordt beschouwd, is deze verordening van toepassing. Laat deze verordening toe dat werkgever de mails controleert? Controle van e-mail is toegestaan als je een aantal stappen hebt doorlopen.

Stap 1.
Werkgever moet eerst nagaan wat de reden is dat hij de e-mails wil controleren. Werkgever heeft voor ieder in te zetten controlemiddel een gerechtvaardigd belang nodig. Alleen de wens zijn werknemers te controleren zonder nadere onderbouwing is onvoldoende voor een gerechtvaardigd belang.

Denk voor redenen van controle van e-mailverkeer bijvoorbeeld aan redenen van technische aard. Het gerechtvaardigd belang kan ook liggen in het aantonen van misbruik, bijvoorbeeld als werknemer zich negatief over werkgever uitlaat of bedrijfsgeheimen per mail aan de concurrent stuurt. Ook mag werkgever e-mails controleren als hij het vermoeden heeft de werknemer een strafbaar feit heeft gepleegd. Een doel voor controle kan ook de bescherming van bedrijfsgeheimen zijn of het verminderen van kosten en tijdsverlies. Ook kan het voor werkgever uit het oogpunt van beveiliging, bijvoorbeeld systeem- en netwerkbeveiliging, noodzakelijk zijn controle op het e-mailverkeer uit te oefenen. Tot slot mag werkgever de e-mails inzien als werknemer ziek is en dat nodig is voor de continuïteit van zijn bedrijfsvoering.

Stap 2.
Als werkgever het doel van de controle van de e-mail van werknemer heeft vastgesteld, bepaalt dit doel de omvang van de controle (die in verhouding moet staan tot dat doel) en de manier waarop werkgever de e-mails mag controleren. Concreet betekent dit dat als werkgever een concreet vermoeden heeft dat werknemer bedrijfsgevoelige informatie aan de concurrent heeft doorgestuurd hij alleen de e-mails die daarop betrekking hebben mag controleren. Werkgever mag geen e-mails bekijken die werknemer duidelijk voor privédoeleinden heeft verstuurd of die hij voor andere (mogelijk eveneens met het beleid van werkgever strijdige) doeleinden heeft gebruikt.

Stap 3.
Vervolgens moet werkgever een privacyafweging maken, waarbij hij de belangen van zijn werknemers (en ook van zzp’ers en klanten) afweegt tegen het belang van het inzetten van het controlemiddel. Er moet sprake zijn van een redelijke balans tussen het recht van werknemer op bescherming van zijn privacy enerzijds en de belangen van werkgever anderzijds. Concreet betekent dat dat werkgever altijd moet nagaan of hij zijn doel ook op een andere wijze dan door controle van e-mail kan bereiken. Voor de rechter is het minder van belang of werkgever juist heeft gehandeld als hij maar een goede afweging heeft gemaakt (3).

Stap 4.
Als werkgever deze hobbels heeft genomen, vraagt hij de ondernemingsraad in te stemmen met de inzet van het controlemiddel. Een praktische wijze is om in overleg met de ondernemingsraad beleid vast te stellen over niet alleen controle van e-mail, maar bijvoorbeeld ook van internetgebruik, van het gebruik van de laptop en de smartphone. Daarbij kan werkgever sancties verbinden aan het overtreden van deze regels.

Zonder beleid zal de door de rechter uit te voeren belangenafweging tussen het belang van werkgever op controle en het belang van werknemer op zijn privacy sneller in het nadeel van werkgever uitvallen. In een zaak waarin de gemeente Amsterdam een ambtenaar verweet dat hij teveel tijd aan privédoeleinden op internet had besteed en hem een disciplinaire maatregel had opgelegd, bleek het bezwaar van de ambtenaar daartegen gegrond. Het beleid van de gemeente was onvoldoende duidelijk.

Stap 5.
Als de ondernemingsraad heeft ingestemd met de plannen en/of het beleid, moet werkgever ervoor zorgen dat hij de inzet van de controlemiddelen kenbaar maakt. Hij kan daartoe het in overleg met de ondernemingsraad opgestelde e-mailbeleid met werknemers delen door het via de mail of via intranet te verspreiden Het is daarbij van belang dat hij zijn werknemers (en ook de bij hem werkzame zzp’ers en zijn klanten en/of leveranciers) informeert over de controlemiddelen voordat hij ze inzet. Hierbij geldt dat als werkgever werknemer van tevoren niet heeft gewaarschuwd dat zijn e-mailverkeer kan worden gecontroleerd, werknemer ervan uit mag gaan dat zijn communicatie privé is. Dit ligt anders als werknemer ontkent dat hij zijn zakelijke mail voor privédoeleinden gebruikt. De werkgever mag er in dat geval op vertrouwen dat het mailverkeer slechts zakelijk is, wat ertoe leidt dat controle, voor zover aan de overige vereisten is voldaan, rechtmatig is (2).

Stap 6.
Werkgever moet er voorts te allen tijde voor zorgen dat hij de persoonsgegevens die hij verzamelt adequaat beveiligt.

Stap 7.
Als laatste geldt dat werkgever de persoonsgegevens niet langer mag bewaren dan voor het doel waarvoor hij ze heeft verzameld noodzakelijk is. In de AVG is geen concrete bewaartermijn vastgelegd, maar soms geldt een bewaartermijn op grond van een andere termijn (denk aan de Wet op de Inkomstenbelasting).

Als werkgever aan bovengenoemde stappen voldoet, is in beginsel geen sprake van schending van artikel 8 EVRM (4). Dat uit een rechtmatig uitgevoerde controle van de e-mails van werknemer blijkt dat hij hoogst vertrouwelijke documenten aan zijn zakelijk e-mailadres heeft verstuurd, levert niet zonder meer een dringende reden voor ontslag op. Kantonrechter Amsterdam ontbond de arbeidsovereenkomst wegens verwijtbaar handelen/nalaten omdat werknemer vertrouwelijke documenten deelde met collega’s en dit na waarschuwingen bleef doen. Van belang is daarbij ook dat werkgever de verzending van dergelijke documenten in haar internetbeleid verbiedt. Ook verzending van documenten aan het privé e-mailadres is niet onrechtmatig en levert geen schending van het geheimhoudingsbeding op als werkgever niet kan aantonen dat werknemer deze documenten heeft gedeeld of dat van plan is (5).
Kortom, werkgever mag de mailberichten van zijn werknemers controleren als hij daarvoor een gerechtvaardigd belang heeft, hij dat niet bovenmatig doet en hij daarbij een behoorlijke afweging maakt tussen de belangen van zijn werknemers enerzijds en zijn belang bij controle anderzijds. Het is het meest praktisch als werkgever in overleg met de ondernemingsraad beleid opstelt over de controle van e-mail. Daarin kan hij direct ook vastleggen of en wanneer hij het internetgebruik controleert, het gebruik van laptops en het gebruik van smartphones. De ondernemingsraad heeft instemmingsrecht over dat beleid. Als wij je bij het opstellen van beleid kunnen helpen of we je anderszins met je privacyvraagstukken van dienst kunnen zijn, neem dan contact op met één van onze specialisten. We helpen je graag verder.

  1. Nationale Ombudsman, 7 juni 2007, JAR 2007/164
  2. ECLI:RBAMS:2007:BB7739
  3. Europees Hof voor de Rechten van de Mens, 12 januari 2016, ECLI:CE:ECHR:2016:0112JUD006149608
  4. Rechtbank Limburg, 14 februari 2017, ECLI:NL:RBLIM:2017:1296
  5. Kantonrechter Groningen, 9 november 2016, AR 2017-0453