image

Heb ik recht op een kopie van mijn zakelijke mailbox op basis van een inzageverzoek?

woensdag 4 maart 2020, 13:34 door Arnoud Engelfriet, 13 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om Outlook pst-bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de AVG bewerkstelligen?

Antwoord: Volgens de AVG heb je recht op een kopie van je persoonsgegevens (artikel 15). Als je die zelf hebt geupload op basis van toestemming of overeenkomst, dan kun je die kopie zelfs in een machine-leesbaar formaat verlangen (artikel 20). Dat laatste zal hier niet spelen, een mailbox voldoet niet aan die criteria. Maar een printout van de mails zou in principe tot de mogelijkheden behoren. Als ze er nog zijn.

De eerste vraag is dus altijd of je ex-werkgever die bestanden nog heeft. Er is geen bewaarplicht voor dergelijke mailberichten (of mailboxen), dus het staat ze vrij die weg te gooien na einde dienstverband. Wat er niet is, kun je ook niet opvragen en je kunt op dat gemis geen schadeclaim baseren.

Zijn ze er wel, dan heb je dus in beginsel recht op een kopie. Een mail van of aan jou bevat immers jouw persoonsgegevens, al is het maar je naam of e-mailadres. Maar ook zaken als wat er aan je werd gevraagd of wat je antwoord was, zijn te zien als persoonsgegevens. Dat begrip is immers veel breder dan enkel de administratrivia over jou.

Ik zeg "in beginsel", want lid 4 van artikel 15 zegt enigszins cryptisch:

3. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

De strekking van dit lid 4 is dat jouw inzageverzoek geen rechten van anderen mag schenden, zoals hun privacy (denk aan de collega met wie je mailt) of intellectuele rechten zoals bedrijfsgeheimen of auteursrechten. Echter, dat betekent niet dat men eenvoudigweg "ja ho privacy van collega's" of "oh noes bedrijfsgeheim" mag zeggen en dan inzage weigeren. Overweging 63 bij de AVG eist dat er een belangenafweging plaatsvindt met een poging ergens een middenweg te vinden.

Wat die middenweg moet zijn bij je zakelijke mailbox, dat weet ik zo net nog niet. Het praktische probleem dat ik zie, is vooral dat die mailbox zelden zo gestructureerd is dat je de persoonlijke mails eruit kunt lichten. De hele pst mailbox afgeven voelt als te veel voor het verzoek, en eisen dat de werkgever maar even door de mailbox heengaat om de relevante dingen te vinden, is ook weer disproportioneel. Maar "dat is heel veel werk" is dan weer geen argument onder de AVG (artikel 12 lid 5). Alleen als het echt buitensporig veel werk is, mag je weigeren.

Ik denk dat voor mij de hoofdvraag zou zijn om wat voor mails het dan precies gaat. Als je bedoelt "alle mails die vanaf mijn voornaam punt achternaam at bedrijfsnaam punt extensie zijn verzonden en ontvangen", dan zou ik daar toch die bedrijfsgeheim-uitzondering tegenaan gooien. Dergelijke mails zijn primair zakelijk en dus bedrijfsvertrouwelijk. De meer persoonsgebonden mails (zeg, je correspondentie met de bedrijfsvertrouwenspersoon, de kattenbelletjes met je partner, de naar kantoor gemailde vakantiefoto's om in kleur te printen) kan ik moeilijk als zakelijk vertrouwelijk zien, maar die uit een grote mailbox vissen zonder verder enige structuur zou ik wel buitensporig vinden.

Samenvattend denk ik dat een ex-werkgever dit dus mag weigeren. Tenzij je altijd heel braaf je privémails in een apart mapje hebt gestopt en het verzoek beperkt tot dat mapje (dat je dus bij naam noemt, met uitleg van de criteria van wat daar in ging). Alleen: dat mapje hoorde op de dag na einde dienstverband te zijn gewist, want er was nooit enige reden om dit te bewaren. Dus netto krijg je dan nog steeds niets, volgens mij.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
04-03-2020, 13:40 door Anoniem
10 jaar ?

90 % kans dat deze mail weg is de werkgever is inderdaad niet verplicht om mail van vertrokken medewerkers te bewaren.

Altijd zelf je mail archiveren

Mijn mail archief gaat terug tot 2007
04-03-2020, 14:35 door Anoniem
Samenvattend denk ik dat een ex-werkgever dit dus mag weigeren. Tenzij je altijd heel braaf je privémails in een apart mapje hebt gestopt en het verzoek beperkt tot dat mapje (dat je dus bij naam noemt, met uitleg van de criteria van wat daar in ging). Alleen: dat mapje hoorde op de dag na einde dienstverband te zijn gewist, want er was nooit enige reden om dit te bewaren. Dus netto krijg je dan nog steeds niets, volgens mij.

en dan ga je er nog steeds vanuit dat een eventuele exwerkgever niet de plicht had email te bewaren volgens enige vorm van audit 'wens'

Eminus
04-03-2020, 17:22 door Anoniem
Als een mailbox als persoonlijk en daarmee vertrouwelijk wordt gezien, dan dient logischerwijs ook de gehele mailbox afgegeven te worden. Al kan je niet voorkomen dat mailboxen op het moment van navraag worden weggegooid.

Het beste is gedurende het dienstverband zelf back-ups te maken, al moet je dat ook weer niet overdrijven. Bij conflicten kan het handig zijn zelf de communicatie te kunnen reproduceren, maar jarenlange communicatie eindeloos bewaren is niet zinnig en kan, wanneer deze gestolen wordt, zelfs een relevant risico vormen. Zelf een weggooitermijn hanteren is eigenlijk helemaal zo gek nog niet. Wellicht is de belastingtechnische 5 of 7 jaar wel een aardige. Er is weinig reden om 13 jaar oude mails te bewaren.
04-03-2020, 18:56 door Anoniem
*kuchkuch* TLDs zijn geen extensies, Arnoud *kuchkuch*.

"pst-bestand" impliceert een outlook[*]-archief, op de werkmachine zelf of mischien op een "gedeelde schijf". Grote kans dat de hele reutemeteut gewist wordt als de machine doorgegeven wordt aan de volgende gebruiker. Als niet, dan slordig van de werkgever en wellicht op zichzelf een overtreding van allerlei richtlijnen.

Verder lijkt dit me een ding om in het gebruiksreglement op te nemen, dat je privémail in een folder "privé" opslaat en dat je bij weggaan daar een kopietje van meekrijgt, maar van de rest niet want bedrijfs-eigen, potentieel bedrijfsgeheim, en zo verder. Dan heb je een duideljike scheidslijn aangegeven en daarmee de middenweg gedefinieerd.

Of de rest wissen wel zo verstandig is voor het bedrijf, bijvoorbeeld als je veel externe contacten had, is een ander verhaal.


[*] Ik zou het geen "email" noemen. outlook en exchange passen prima bijelkaar maar het spelletje van de "email" spelen met de rest van de wereld doen ze zeer matigjes.
04-03-2020, 20:55 door Anoniem
Kijk het ligt er natuurlijk aan hoe je weg gaat. Als je een nieuwe baan zoekt, een maand van te voren opzegt, en dan
gewoon bljjft werken tot je laatste contract dag dan is er alle gelegenheid om tegen die tijd je .pst file op USB stick te
zetten of te uploaden naar wetransfer. Of je forward even die paar mailtjes die je graag wilt bewaren.

Maar als je er op staande voet uit getrapt wordt en dan 6 banen later nog bedenkt dat je je ouwe mail weer wilt hebben,
tja, dan wordt het natuurlijk een stuk lastiger. Dan heb je medewerking nodig en ben je afhankelijk van bewaarbeleid.
Gewoon niet zo ver laten komen lijkt me.

En oja, als je toch bezig bent met je voorbereiden, gebruik dan je zakelijke e-mail gewoon alleen voor zakelijke contacten
met collega's en bijv klanten/leveranciers, en niet voor "persoonlijke mail". Dat is zo eenvoudig en het spaart je zoveel
problemen...
05-03-2020, 13:00 door Anoniem
Wij bewaren die spullen inclusief homedirectories max 6 maanden, tenzij de persoon in kwestie onderwerp van een onderzoek is.
Voor de rest is bewaren slechts ruimteverspilling en goede zakelijke storage is nog altijd duur.
05-03-2020, 17:16 door Anoniem
Door Anoniem: Voor de rest is bewaren slechts ruimteverspilling en goede zakelijke storage is nog altijd duur.
En daarom is tape nog steeds niet dood, voor bijvoorbeeld offline opslag van bulk data die je niet kan weggooien maar ook niet direct nodig hebt. Zo'n vijftien jaar gelee zetten we servers eerst een tijd uit, en dan de schijven eruit (en de server hergebruikt), en dan de data van de schijven op een ceedeetje in de map "dodenakker". In de tijd dat ik beheer deed bij dat bedrijf is er precies één keer vraag geweest naar de overblijfselen van voorheen-een-server. Ze waren er in dat ene geval maar wat blij mee, dus die moeite was het wel waard.

Maar ik kan me zo voorstellen dat je dat voor ontslagen medewerkers ook kan doen, zeker voor de privémailtjes en -data. En als je dat automatiseert dan kan dat gewoon integraal met het opdoeken van het eerder uitgezette account wegens werkt hier niet meer gedaan worden.

Voor zulke dingen zijn CDtjes (of DVDtjes) best handig, ook al worden ze nog maar nauwlijks gebruikt omdat iedereen USB-sticks heeft. Nouja, USBsticks met bedrijfslogo worden ook vaak als weggevertje gebruikt, dus bij afscheid, waarom niet?
06-03-2020, 05:43 door The FOSS - Bijgewerkt: 06-03-2020, 05:46
Door Anoniem: Voor zulke dingen zijn CDtjes (of DVDtjes) best handig, ook al worden ze nog maar nauwlijks gebruikt omdat iedereen USB-sticks heeft. Nouja, USBsticks met bedrijfslogo worden ook vaak als weggevertje gebruikt, dus bij afscheid, waarom niet?

Zomaar een extern medium aankoppelen, allerlei dingen erop zetten en daarmee naar buiten lopen zou niet mogelijk moeten zijn want wie weet wat voor bedrijfsgeheimen je zo naar buiten smokkelt. Je moet:

- nooit je zakelijke e-mail account voor persoonlijke dingen gebruiken;
- als je dat tóch hebt gedaan dan bij vertrek vragen om een kopie van je persoonlijke e-mails.
06-03-2020, 08:06 door Anoniem
Door The FOSS:
Door Anoniem: Voor zulke dingen zijn CDtjes (of DVDtjes) best handig, ook al worden ze nog maar nauwlijks gebruikt omdat iedereen USB-sticks heeft. Nouja, USBsticks met bedrijfslogo worden ook vaak als weggevertje gebruikt, dus bij afscheid, waarom niet?
Zomaar een extern medium aankoppelen, allerlei dingen erop zetten en daarmee naar buiten lopen zou niet mogelijk moeten zijn want wie weet wat voor bedrijfsgeheimen je zo naar buiten smokkelt.
Wie had het erover dat de werknemer zelf backups van z'n email ging maken?
09-03-2020, 15:43 door Anoniem
Grappig. De AVG bestaat pas officieel sinds 2018, dus kan je dan nog aanspraak maken op data van 10 jaar geleden onder de
smoes van de AVG?

Daarnaast staat een PST file vaak op je machine zelf en die zullen ze vast geen 10 jaar bewaren voor je.
Beetje kansloze actie dit.
11-03-2020, 10:54 door Anoniem
Jammer maar helaas. Wat staat er in je toenmalige arbeidscontract vermeld? Ik denk meer aan persoonsgegevens die betrekking hebben op je dienstverband, salariëring enzovoort. Het commentaar van anoniem die zei het is maar net hoe je weggaat vind ik dan nog het meest van toepassing. Had je aanlooptijd naar je vertrek, dan had je dit zelf moeten regelen, jouw ex-werkgevers zijn daarin niets verplicht. Persoonlijk houd ik mijn zakelijk en privé mail strikt gescheiden, staat er iets in zakelijk wat privé is dan stuur ik dat door en vice versa. Ook om het overzicht in je eigen hoofd te houden, en te voorkomen dat je dus situaties als deze krijgt. PS ik werk in de accountancy. Ik ben niets anders dan de hele dag met AVG gerelateerde zaken bezig.

Succes ermee en leer voor de volgende keer!
12-04-2020, 19:11 door Anoniem
Bij ons blijft een mailbox nog een maand bestaan, mits er items in zitten waarop een bewaarplicht zit vanwege een lopende rechtszaak of een onderzoek. Daarnaast is het verboden om mail anders dan privé te exporteren en mee te nemen. Regel is heel erg simpel, wanneer er naast de eigenaar van de mailbox een e-mail adres of naam van een (ex)collega zit, dan valt dit onder de uitzondering en mag deze de "zakelijke" omgeving niet verlaten.

Wanneer een werknemer dus weg gaat, kan deze een beveiligde USB stick krijgen. En heeft deze persoon een week de tijd in de laatste week dienstverband om persoonlijke data op deze stick te zetten en gaan wij uit van een vertrouwen dat de persoon ook alleen die data veilig stelt welke privé is. In de arbeidsvoorwaarden heeft de gebruiker ook hiervoor getekend en uit een aantal, door ons gewonnen rechtszaken, omtrent misbruik zit dit wel goed.

Werknemers welke op een niet vrijwillige basis weg gaan krijgen de zelfde procedure. Deze krijgen ook een week de tijd, maar moeten onder begeleiding van een vertrouwenspersoon of secops hun privé data veilig stellen. Zakelijk gerelateerde data is natuurlijk uitgesloten en zal alleen worden vrijgegeven wanneer dit door een rechter wordt aangegeven wanner relevant. Een voorbeeld is optie/aandelen handel met voorkennis. Iemand kan hierop ontslagen worden, maar kan aangeven dat hij/zij de e-mails of documenten wil toevoegen aan de bewijsvoering. Omdat er bedrijfsgegevens in staan, of persoonsgegevens van collega's wordt dit alleen gedaan onder speciale, door een rechter bepaalde condities.

Overigens is WeTransfer, niet zakelijke Google Drives/OneDrives en ongeautoriseerde USB sticks afgesloten en is er ook expliciet vermeld en voor getekend dat men hier geen gebruik van mag maken, ook wanneer men een loophole heeft gevonden. Bij onze Amerikaanse tak schroomt men ook niet om een ex collega bij inbreuk voor het gerecht te slepen, zowel civiel, strafrechtelijk maar ook bij een aantal tuchtcolleges voor accountancy en financiële delicten.

Achtergrond, we zijn een Accountancy/Tax/Advisory met meer dan 150.000 medewerkers wereldwijd.
22-11-2020, 14:02 door Anoniem
Door Anoniem: Bij ons blijft een mailbox nog een maand bestaan, mits er items in zitten waarop een bewaarplicht zit vanwege een lopende rechtszaak of een onderzoek. Daarnaast is het verboden om mail anders dan privé te exporteren en mee te nemen. Regel is heel erg simpel, wanneer er naast de eigenaar van de mailbox een e-mail adres of naam van een (ex)collega zit, dan valt dit onder de uitzondering en mag deze de "zakelijke" omgeving niet verlaten.

Wanneer een werknemer dus weg gaat, kan deze een beveiligde USB stick krijgen. En heeft deze persoon een week de tijd in de laatste week dienstverband om persoonlijke data op deze stick te zetten en gaan wij uit van een vertrouwen dat de persoon ook alleen die data veilig stelt welke privé is. In de arbeidsvoorwaarden heeft de gebruiker ook hiervoor getekend en uit een aantal, door ons gewonnen rechtszaken, omtrent misbruik zit dit wel goed.

Werknemers welke op een niet vrijwillige basis weg gaan krijgen de zelfde procedure. Deze krijgen ook een week de tijd, maar moeten onder begeleiding van een vertrouwenspersoon of secops hun privé data veilig stellen. Zakelijk gerelateerde data is natuurlijk uitgesloten en zal alleen worden vrijgegeven wanneer dit door een rechter wordt aangegeven wanner relevant. Een voorbeeld is optie/aandelen handel met voorkennis. Iemand kan hierop ontslagen worden, maar kan aangeven dat hij/zij de e-mails of documenten wil toevoegen aan de bewijsvoering. Omdat er bedrijfsgegevens in staan, of persoonsgegevens van collega's wordt dit alleen gedaan onder speciale, door een rechter bepaalde condities.

Overigens is WeTransfer, niet zakelijke Google Drives/OneDrives en ongeautoriseerde USB sticks afgesloten en is er ook expliciet vermeld en voor getekend dat men hier geen gebruik van mag maken, ook wanneer men een loophole heeft gevonden. Bij onze Amerikaanse tak schroomt men ook niet om een ex collega bij inbreuk voor het gerecht te slepen, zowel civiel, strafrechtelijk maar ook bij een aantal tuchtcolleges voor accountancy en financiële delicten.

Achtergrond, we zijn een Accountancy/Tax/Advisory met meer dan 150.000 medewerkers wereldwijd.
Klinkt netjes en goed geregeld. Ga zo door :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.