GDPR - AVG

Hoelang mag een werkgever uw e-mailadres behouden na uw vertrek?

Joris Deene
3 weken geleden
145 keer bekeken
6 minuten leestijd

Een werkgever mag het e-mailadres van een ex-werknemer in principe niet langer dan één maand actief houden na uitdiensttreding, met een mogelijke verlenging tot maximaal drie maanden in uitzonderlijke gevallen. Het louter technisch ‘afleiden’ van e-mails naar een digitale prullenmand (zoals een /dev/null maatregel) zonder het adres te verwijderen, volstaat niet en vormt een inbreuk op de Algemene Verordening Gegevensbescherming (AVG/GDPR).

De feiten en procedure

In een recente zaak voor de Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit (GBA) stond een conflict centraal tussen een voormalig aandeelhouder/werknemer en de vennootschap die hij had verlaten.

De samenwerking werd stopgezet in februari 2019. Twee jaar later, in 2021, ontdekte de man dat zijn twee gepersonaliseerde e-mailadressen (op basis van zijn voor- en achternaam) nog steeds actief waren op de server van de vennootschap.

De vennootschap verweerde zich door te stellen dat er geen sprake was van een inbreuk op het gegevensbeschermingsrecht. Zij hadden namelijk een technische maatregel getroffen, een zogenoemde /dev/null-maatregel. Hierdoor kwamen inkomende e-mails niet in een inbox terecht, maar werden ze door de server onmiddellijk en automatisch verwijderd. De vennootschap argumenteerde dat dit noodzakelijk was om “serververvuiling” en foutmeldingen te voorkomen en dat er geen sprake was van verwerking van persoonsgegevens omdat niemand de mails las.

De ex-werknemer diende klacht in wegens schending van zijn recht op gegevensbescherming en het niet verkrijgen van inzage in zijn gegevens.

De beslissing van de Gegevensbeschermingsautoriteit

In haar Beslissing 01/2026 van 6 januari 2026 stelde de Geschillenkamer de ex-werknemer in het gelijk. De GBA oordeelde dat het laten voortbestaan van de e-mailadressen na de redelijke termijn onrechtmatig is.

De kernpunten van de beslissing zijn:

  • E-mailadres is een persoonsgegeven: Een e-mailadres met de structuur voornaam.naam@bedrijf.be is op zichzelf een persoonsgegeven, omdat het direct identificeert. Het louter laten bestaan van dit adres is een ‘verwerking’ onder de AVG.
  • Technische afleiding is geen excuus: Dat de inhoud van de mails direct werd verwijderd via de /dev/null-maatregel, doet niet ter zake. Er werden nog steeds logbestanden (metadata) bijgehouden waarin zichtbaar was wie naar de ex-werknemer mailde. De vennootschap had dus nog steeds toegang tot bepaalde gegevens.
  • Geen gerechtvaardigd belang: Het argument van de vennootschap dat het behoud van de adressen nodig was voor de technische gezondheid van de servers (anti-vervuiling), werd verworpen. Er bestaan andere technische middelen om servers te beschermen zonder persoonsgegevens van ex-werknemers jarenlang te verwerken.

De GBA legde de vennootschap een berisping op en beval de onmiddellijke stopzetting van de verwerking en verwijdering van de gegevens.

Juridische analyse en duiding

Deze beslissing bevestigt en verfijnt de vaste rechtspraak van de GBA (zoals eerdere beslissingen) over de “digitale nalatenschap” van werknemers. Voor juridische professionals en DPO’s zijn hier drie cruciale lessen uit te trekken:

1. De definitie van ‘verwerking’ is ruim

De verweerder trachtte te ontsnappen aan de AVG door te stellen dat er geen inhoudelijke kennisname was van de mails. De GBA past echter een strikte lezing van artikel 4.1 AVG toe. Het e-mailadres zelf linkt de naam van de betrokkene aan de onderneming. Zolang dat adres “bestaat” op de server en reageert (zelfs al is het om data weg te gooien), is er sprake van verwerking. Bovendien bevestigt de GBA dat metadata (logs van afzenders) ook persoonsgegevens zijn waarop het inzagerecht van artikel 15 AVG van toepassing is.

2. De noodzakelijkheidstoets bij gerechtvaardigd belang

De verwerking faalde op de toets van het gerechtvaardigd belang (artikel 6.1.f AVG). Hoewel het doel (serverhygiëne) legitiem is, faalde de noodzakelijkheidstoets. De inbreuk op het gegevensbeschermingsrecht was disproportioneel omdat er minder ingrijpende alternatieven bestaan. Een “user unknown”-melding of een tijdelijke auto-reply volstaat. Het jarenlang in de lucht houden van een adres om bounces te vermijden is niet proportioneel.

3. Sanctiebeleid en ‘Deutsche Wohnen’

Interessant is dat de GBA kiest voor een berisping in plaats van een geldboete. De Geschillenkamer verwijst hierbij expliciet naar het arrest Deutsche Wohnen van het Hof van Justitie. Er was geen bewijs van opzet en de onderneming had wel degelijk gepoogd maatregelen te nemen ter bescherming van het gegevensbeschermingsrecht (de /dev/null filter), ook al waren deze ontoereikend. Dit duidt op een “beperkte nalatigheid”.

Wat dit concreet betekent

Deze uitspraak heeft gevolgen voor het IT- en HR-beleid van Belgische ondernemingen:

  • Voor werkgevers: Controleer uw procedure bij uitdiensttreding. Een mailbox mag maximaal 1 maand actief blijven met een automatische reply (“out of office”) die de afzender verwijst naar een collega. In uitzonderlijke gevallen kan dit verlengd worden tot 3 maanden, maar nooit langer. Het louter technisch ‘isoleren’ van de mailbox is niet voldoende; het account moet effectief verwijderd worden.
  • Voor werknemers: U heeft het recht om te eisen dat uw professionele e-mailadres wordt afgesloten na uw vertrek. Blijft dit actief, dan wordt uw naam onterecht verbonden aan een organisatie waar u niet meer werkt, en kan u potentiële privé-communicatie mislopen. U heeft bovendien recht op inzage in de logbestanden als u vermoedt dat uw adres actief is gebleven.

Veelgestelde Vragen (FAQ)

Mag mijn werkgever mijn e-mailadres actief houden om geen klanten te verliezen?
Nee, niet onbeperkt. De werkgever mag het adres gedurende een redelijke termijn (standaard 1 maand) actief houden om een automatisch antwoord in te stellen. In dat bericht moet staan dat u niet meer werkzaam bent en naar wie de klant zich wel kan richten. Daarna moet het adres gedeactiveerd worden.

Is het voldoende als de werkgever belooft mijn e-mails niet te lezen?
Nee. Zoals blijkt uit deze beslissing, is het loutere bestaan van het e-mailadres en het verwerken van de inkomende ‘signalen’ (metadata/logs) al een verwerking van persoonsgegevens. Ook als de inhoud direct wordt gewist, mag het e-mailadres niet jarenlang blijven bestaan.

Wat kan ik doen als ik ontdek dat mijn oude werkmail nog werkt?
U kunt een verzoek tot gegevenswissing (recht op vergetelheid) sturen naar uw ex-werkgever. Zij moeten dit binnen 30 dagen uitvoeren. Weigeren zij, dan kunt u klacht indienen bij de Gegevensbeschermingsautoriteit, aangezien dit een onrechtmatige verwerking betreft.

Conclusie

Het afsluiten van IT-accounts is geen louter technisch detail, maar een juridische verplichting. Werkgevers in België die e-mailadressen van ex-werknemers jarenlang laten “sluimeren” op hun servers, riskeren sancties, zelfs als ze de inhoud van de mails niet lezen. Een strikte exit-politiek van maximaal 1 tot 3 maanden is de enige veilige route.

Heeft u te maken met een geschil rond gegevensbescherming na ontslag of wenst u uw IT-policy te laten doorlichten? Onze advocaten, gespecialiseerd in privacyrecht en arbeidsrecht, staan klaar om uw dossier te analyseren. Neem contact op voor een eerste advies.


Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics