Het komt vaak voor dat werkgevers inzage wensen in zakelijke e-mails van hun (ex-)werknemers. Die wens kan bijvoorbeeld bestaan bij een vermoeden dat de individuele werknemer heeft gefraudeerd, knowhow heeft gestolen of betrokken is bij schending van het mededingingsrecht. Ook kan het e-mailverkeer relevant zijn ten behoeve van het onderbouwen of afweren van juridische claims.
De werkgever beschikt niet over een onbeperkte vrijheid om zakelijk e-mailverkeer te onderzoeken. Aangenomen wordt dat een werknemer ook in zijn of haar professionele werkomgeving over enige mate van privacy beschikt. Lees in dit blog over wanneer inzage in zakelijke mails door een werkgever gerechtvaardigd is.
Wat speelde er?
Op 28 december 2021 oordeelde het Gerechtshof ’s-Hertogenbosch over de rechtmatigheid van de inzage in zakelijke e-mails door de werkgever met de toepasselijke naam Access World.
Nu de kwestie vóór invoering van de AVG speelde, wordt niet de AVG als toetsingskader gebruikt maar haar voorganger, de Wbp, en art. 8 EVRM. De AVG heeft echter geen wezenlijke verandering gebracht in de (on)mogelijkheden voor een werkgever om e-mails te onderzoeken waardoor de uitspraak ook onder de AVG relevant is.
Acces World nam inzage in de zakelijke e-mails van appellante omdat zij op de hoogte wilde raken van een aantal dossiers om deze te completeren. Daarnaast had appellante al eerder toestemming gegeven om haar zakelijke e-mail te bekijken. De inzage vond plaats op 8 en/of 9 juni terwijl appelante was vrijgesteld van werkzaamheden vanaf 8 juni 2017 en niet meer bij Access World zou terugkeren.
Tussen de partijen zijn de volgende punten niet in geschil:
- dat de betreffende e-mailberichten – in ieder geval – vallen onder de bescherming van art. 8 EVRM, dat het recht op privacy beschermt, ook wanneer de berichten zijn verstuurd vanaf de zakelijke werkplek van de werkgever;
- dat een werkgever de e-mailberichten van zijn werknemer in beginsel slechts mag controleren indien voor de werknemer kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd door de werkgever (bijvoorbeeld via een personeelsreglement of op grond van de arbeidsovereenkomst), er sprake is van een gerechtvaardigd doel en er voldaan is aan de proportionaliteitseis;
- dat onder omstandigheden ook wanneer voor de werknemer niet kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd, controle van die berichten door de werkgever toelaatbaar kan worden geacht.
In dit geval was in het Personeelshandboek het volgende opgenomen: “van alle gebruikers van internet en email binnen de organisatie wordt professioneel en integer handelen verwacht. Inhoudelijke controle van het internet en e-mailgebruik kan plaatsvinden bij een vermoeden van handelen in strijd met de regels in de gedragscode IT Policy”.
Er was dus sprake van kenbaarheid van de mogelijkheid dat e-mailverkeer zou worden bekeken. Als enige mogelijke reden werd echter een vermoeden van handelen in strijd met de gedragscode IT Policy genoemd. Een dergelijk vermoeden was in dit geval niet aan de orde.
Om deze reden acht het Hof de inzage door de werkgever niet gerechtvaardigd.
Toestemming als grondslag voor inzage
Het Hof vraagt zich in overweging 6.5.3 hardop af waarom Access World niet gewoon aan appellante had kunnen vragen of zij de zakelijke e-mail vanwege de door haar aangevoerde omstandigheden mocht inzien. Bij een positief antwoord zou de grondslag dan toestemming zijn geweest. Een dergelijke toestemming is volgens het arrest namelijk ook in 2016 al eens door appellante verleend.
In Nederland wordt over het algemeen aangenomen dat toestemming van de werknemer in de zin van de AVG geen geldige grondslag voor een inzage kan opleveren nu een werknemer gezien de afhankelijkheidsrelatie van de werkgever geen vrije toestemming zal kunnen geven. Dat maakt de toestemming in de meeste gevallen ongeldig. Deze suggestie van het Hof is daarmee opvallend te noemen. Mogelijk was die suggestie ingegeven doordat al afscheid was genomen van de werkneemster. Het lijkt erop dat op het moment van de inzage reeds een vaststellingsovereenkomst was getekend. In een dergelijke situatie kan aangenomen worden dat de werkneemster niet langer in een afhankelijkheidsrelatie verkeerde en dus in vrijheid toestemming zou kunnen geven of weigeren.
De eerdere toestemming uit 2016 is, hoewel gegeven gedurende het dienstverband, mogelijk ook een geldige toestemming geweest. Zoals uit het arrest blijkt, had appellante immers zelf aangedrongen op die inzage. De omstandigheden waaronder dit gebeurde zijn niet duidelijk, maar als dat inderdaad op eigen initiatief van de werkneemster is gebeurd, is denkbaar dat die toestemming dan ook geacht moet worden vrij en dus geldig te zijn geweest.
Ook als toestemming in theorie in vrijheid gegeven kan worden, blijft het echter een lastige grondslag om te kiezen. Wat te doen immers als de toestemming geweigerd wordt? Het ligt dan ook het meest voor de hand om voor een inzage als grondslag het gerechtvaardigd belang te kiezen en de werknemer voorafgaand aan de verwerking te informeren (tenzij dit in een specifiek geval op grote bezwaren zou stuiten). Dit informeren zou natuurlijk een bezwaar kunnen uitlokken als bedoeld in art. 21 AVG. Als de redenen voor inzage voldoende dwingend zijn, dan hoeft een bezwaar echter niet in de weg te staan aan een rechtmatige inzage zoals volgt uit art. 21 lid 1 AVG.
Teneinde goed beslagen ten ijs te komen en onrechtmatige inzage te vermijden is het in algemene zin verstandig om voorafgaand aan een inzage een Data Protection Impact Assessment (DPIA) uit te voeren.
Verwerking gezondheidsgegeven
Appellante stelt tevens aan de kaak dat Access World haar privacy zou hebben geschonden doordat zij in haar registratiesysteem een e-mail heeft opgenomen inhoudende: “Beste HR e.a., Ik heb kort verzuim opgenomen ivm.afspraak dokter. Mvg [appellante] .
Dit vormt volgens appellante een schending van het in artikel 16 Wbp opgenomen verwerkingsverbod van bijzondere persoonsgegevens, nu sprake zou zijn van een gezondheidsgegeven en Access World geen grondslag zou hebben voor het verwerken van gezondheidsgegevens.
Naar de mening van het Hof valt het enkel aangeven een vrije dag op te nemen om een dokter te bezoeken zonder nadere toelichting echter niet onder het in artikel 16 Wbp genoemde verbod. Hoewel de definitie van gezondheidsgegeven soms erg wordt opgerekt, en de registratie van een doktersbezoek daar wel degelijk onder zou kunnen vallen, valt te begrijpen dat het Hof deze ‘can of worms’ niet heeft willen opentrekken. Dat appellante op enige wijze is benadeeld door deze registratie valt immers moeilijk in te zien.
Schadevergoeding
Appellante vorderde met een verwijzing naar rechtbank Amsterdam van 12 mei 2014, ECLI:RBAMS:2014:2751 EUR 5000,- schadevergoeding. In die uitspraak werd EUR 7500,- schadevergoeding toegekend voor onrechtmatige inzage in correspondentie van een werknemer. Een belangrijk verschil was echter dat het in dat geval om inzage in de privé-e-mail en whatsappberichten ging en het resultaat van de onrechtmatige inzage bovendien werd gebruikt ter onderbouwing van ontslag.
Hoewel het Hof de inzage onrechtmatig achtte, ziet het Hof in dit geval echter geen aanleiding voor het toewijzen van schadevergoeding. Enige onderbouwing voor een aantasting van de persoon was niet gegeven en achtte het Hof ook niet aannemelijk. Gezien de omstandigheden in dit “pre-AVG”-geval een begrijpelijke uitkomst.
Het komt vaak voor dat werkgevers inzage wensen in zakelijke e-mails van hun (ex-)werknemers. Die wens kan bijvoorbeeld bestaan bij een vermoeden dat de individuele werknemer heeft gefraudeerd, knowhow heeft gestolen of betrokken is bij schending van het mededingingsrecht. Ook kan het e-mailverkeer relevant zijn ten behoeve van het onderbouwen of afweren van juridische claims.
De werkgever beschikt niet over een onbeperkte vrijheid om zakelijk e-mailverkeer te onderzoeken. Aangenomen wordt dat een werknemer ook in zijn of haar professionele werkomgeving over enige mate van privacy beschikt. Lees in dit blog over wanneer inzage in zakelijke mails door een werkgever gerechtvaardigd is.
Wat speelde er?
Op 28 december 2021 oordeelde het Gerechtshof ’s-Hertogenbosch over de rechtmatigheid van de inzage in zakelijke e-mails door de werkgever met de toepasselijke naam Access World.
Nu de kwestie vóór invoering van de AVG speelde, wordt niet de AVG als toetsingskader gebruikt maar haar voorganger, de Wbp, en art. 8 EVRM. De AVG heeft echter geen wezenlijke verandering gebracht in de (on)mogelijkheden voor een werkgever om e-mails te onderzoeken waardoor de uitspraak ook onder de AVG relevant is.
Acces World nam inzage in de zakelijke e-mails van appellante omdat zij op de hoogte wilde raken van een aantal dossiers om deze te completeren. Daarnaast had appellante al eerder toestemming gegeven om haar zakelijke e-mail te bekijken. De inzage vond plaats op 8 en/of 9 juni terwijl appelante was vrijgesteld van werkzaamheden vanaf 8 juni 2017 en niet meer bij Access World zou terugkeren.
Tussen de partijen zijn de volgende punten niet in geschil:
- dat de betreffende e-mailberichten – in ieder geval – vallen onder de bescherming van art. 8 EVRM, dat het recht op privacy beschermt, ook wanneer de berichten zijn verstuurd vanaf de zakelijke werkplek van de werkgever;
- dat een werkgever de e-mailberichten van zijn werknemer in beginsel slechts mag controleren indien voor de werknemer kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd door de werkgever (bijvoorbeeld via een personeelsreglement of op grond van de arbeidsovereenkomst), er sprake is van een gerechtvaardigd doel en er voldaan is aan de proportionaliteitseis;
- dat onder omstandigheden ook wanneer voor de werknemer niet kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd, controle van die berichten door de werkgever toelaatbaar kan worden geacht.
In dit geval was in het Personeelshandboek het volgende opgenomen: “van alle gebruikers van internet en email binnen de organisatie wordt professioneel en integer handelen verwacht. Inhoudelijke controle van het internet en e-mailgebruik kan plaatsvinden bij een vermoeden van handelen in strijd met de regels in de gedragscode IT Policy”.
Er was dus sprake van kenbaarheid van de mogelijkheid dat e-mailverkeer zou worden bekeken. Als enige mogelijke reden werd echter een vermoeden van handelen in strijd met de gedragscode IT Policy genoemd. Een dergelijk vermoeden was in dit geval niet aan de orde.
Om deze reden acht het Hof de inzage door de werkgever niet gerechtvaardigd.
Toestemming als grondslag voor inzage
Het Hof vraagt zich in overweging 6.5.3 hardop af waarom Access World niet gewoon aan appellante had kunnen vragen of zij de zakelijke e-mail vanwege de door haar aangevoerde omstandigheden mocht inzien. Bij een positief antwoord zou de grondslag dan toestemming zijn geweest. Een dergelijke toestemming is volgens het arrest namelijk ook in 2016 al eens door appellante verleend.
In Nederland wordt over het algemeen aangenomen dat toestemming van de werknemer in de zin van de AVG geen geldige grondslag voor een inzage kan opleveren nu een werknemer gezien de afhankelijkheidsrelatie van de werkgever geen vrije toestemming zal kunnen geven. Dat maakt de toestemming in de meeste gevallen ongeldig. Deze suggestie van het Hof is daarmee opvallend te noemen. Mogelijk was die suggestie ingegeven doordat al afscheid was genomen van de werkneemster. Het lijkt erop dat op het moment van de inzage reeds een vaststellingsovereenkomst was getekend. In een dergelijke situatie kan aangenomen worden dat de werkneemster niet langer in een afhankelijkheidsrelatie verkeerde en dus in vrijheid toestemming zou kunnen geven of weigeren.
De eerdere toestemming uit 2016 is, hoewel gegeven gedurende het dienstverband, mogelijk ook een geldige toestemming geweest. Zoals uit het arrest blijkt, had appellante immers zelf aangedrongen op die inzage. De omstandigheden waaronder dit gebeurde zijn niet duidelijk, maar als dat inderdaad op eigen initiatief van de werkneemster is gebeurd, is denkbaar dat die toestemming dan ook geacht moet worden vrij en dus geldig te zijn geweest.
Ook als toestemming in theorie in vrijheid gegeven kan worden, blijft het echter een lastige grondslag om te kiezen. Wat te doen immers als de toestemming geweigerd wordt? Het ligt dan ook het meest voor de hand om voor een inzage als grondslag het gerechtvaardigd belang te kiezen en de werknemer voorafgaand aan de verwerking te informeren (tenzij dit in een specifiek geval op grote bezwaren zou stuiten). Dit informeren zou natuurlijk een bezwaar kunnen uitlokken als bedoeld in art. 21 AVG. Als de redenen voor inzage voldoende dwingend zijn, dan hoeft een bezwaar echter niet in de weg te staan aan een rechtmatige inzage zoals volgt uit art. 21 lid 1 AVG.
Teneinde goed beslagen ten ijs te komen en onrechtmatige inzage te vermijden is het in algemene zin verstandig om voorafgaand aan een inzage een Data Protection Impact Assessment (DPIA) uit te voeren.
Verwerking gezondheidsgegeven
Appellante stelt tevens aan de kaak dat Access World haar privacy zou hebben geschonden doordat zij in haar registratiesysteem een e-mail heeft opgenomen inhoudende: “Beste HR e.a., Ik heb kort verzuim opgenomen ivm.afspraak dokter. Mvg [appellante] .
Dit vormt volgens appellante een schending van het in artikel 16 Wbp opgenomen verwerkingsverbod van bijzondere persoonsgegevens, nu sprake zou zijn van een gezondheidsgegeven en Access World geen grondslag zou hebben voor het verwerken van gezondheidsgegevens.
Naar de mening van het Hof valt het enkel aangeven een vrije dag op te nemen om een dokter te bezoeken zonder nadere toelichting echter niet onder het in artikel 16 Wbp genoemde verbod. Hoewel de definitie van gezondheidsgegeven soms erg wordt opgerekt, en de registratie van een doktersbezoek daar wel degelijk onder zou kunnen vallen, valt te begrijpen dat het Hof deze ‘can of worms’ niet heeft willen opentrekken. Dat appellante op enige wijze is benadeeld door deze registratie valt immers moeilijk in te zien.
Schadevergoeding
Appellante vorderde met een verwijzing naar rechtbank Amsterdam van 12 mei 2014, ECLI:RBAMS:2014:2751 EUR 5000,- schadevergoeding. In die uitspraak werd EUR 7500,- schadevergoeding toegekend voor onrechtmatige inzage in correspondentie van een werknemer. Een belangrijk verschil was echter dat het in dat geval om inzage in de privé-e-mail en whatsappberichten ging en het resultaat van de onrechtmatige inzage bovendien werd gebruikt ter onderbouwing van ontslag.
Hoewel het Hof de inzage onrechtmatig achtte, ziet het Hof in dit geval echter geen aanleiding voor het toewijzen van schadevergoeding. Enige onderbouwing voor een aantasting van de persoon was niet gegeven en achtte het Hof ook niet aannemelijk. Gezien de omstandigheden in dit “pre-AVG”-geval een begrijpelijke uitkomst.