ArbeidsrechtGDPR - AVG

Mag uw ex-werkgever uw professionele mailbox inkijken na uw vertrek?

Joris Deene
5 maanden geleden
789 keer bekeken
9 minuten leestijd

De beëindiging van een arbeids- of managementrelatie roept vaak praktische vragen op, zeker in een digitaal tijdperk. Een van de meest voorkomende en heikele punten is het beheer van de professionele mailbox van de vertrokken persoon. Recente beslissingen van de Gegevensbeschermingsautoriteit (GBA) scheppen duidelijkheid: een werkgever mag de mailbox niet onbeperkt actief houden en de inhoud ervan is geen vrij toegankelijk bedrijfsarchief.

De algemene regel is dat de mailbox na een korte, redelijke termijn geblokkeerd en uiteindelijk gewist moet worden. Toegang tot de inhoud is slechts in zeer specifieke en uitzonderlijke omstandigheden toegestaan.

De feiten: twee praktijkzaken voor de GBA

Twee recente uitspraken van de Geschillenkamer van de GBA illustreren de risico’s voor ondernemingen die de regels rond het beheer van ex-werknemersmailboxen niet respecteren.

In de eerste zaak (Beslissing 134/2025 van 21 augustus 2025) ontstond een commercieel geschil na het vertrek van een CEO. De onderneming liet zijn professionele mailbox actief, langer dan de aanbevolen termijn. De reden die de onderneming hiervoor aanhaalde, was dat de mailbox mogelijk bewijsmateriaal bevatte voor een lopende arbitrageprocedure. De voormalige CEO diende een klacht in bij de GBA, niet alleen over het actief houden van de mailbox, maar ook omdat zijn verzoek om een volledige kopie (inzagerecht) van de mailbox werd geweigerd.

In de tweede zaak (Beslissing 113/2025 van 1 juli 2025) stelde een vertrokken bestuurder van een onderneming vast dat zijn professionele e-mailaccount bijna twee jaar na het einde van de samenwerking nog steeds actief was. Sterker nog, de nieuwe bestuurder had zichzelf toegang verschaft tot de mailbox en had zelfs een e-mail, gericht aan de vertrokken bestuurder, doorgestuurd.

In beide gevallen oordeelde de GBA dat de ondernemingen in de fout gingen, wat resulteerde in een berisping en een waarschuwing.

De beslissing van de Gegevensbeschermingsautoriteit (GBA)

De GBA baseert zich op de fundamentele principes van de Algemene Verordening Gegevensbescherming (AVG). De analyse van de Geschillenkamer in deze zaken biedt een helder stappenplan voor elke werkgever.

Het principe: blokkeren en een afwezigheidsbericht instellen

De GBA herhaalt haar vaste rechtspraak: de mailbox van een vertrokken medewerker of bestuurder moet zo snel mogelijk worden beheerd. De correcte procedure is als volgt:

  1. Informeren: De werkgever moet de vertrekkende persoon, uiterlijk op de dag van diens vertrek, informeren over de maatregelen die genomen zullen worden.
  2. Automatisch bericht: Er moet onmiddellijk een automatisch antwoord (out-of-office) worden ingesteld. Dit bericht meldt dat de persoon niet langer werkzaam is binnen de onderneming en geeft de contactgegevens van een vervanger of een algemeen e-mailadres.
  3. Redelijke termijn: Dit automatische bericht mag slechts voor een “redelijke periode” actief blijven. De GBA stelt dit standaard op één maand. Afhankelijk van de verantwoordelijkheden van de vertrokken persoon, kan deze termijn worden verlengd tot maximaal drie maanden, mits de betrokkene hiervan op de hoogte wordt gebracht of ermee instemt.
  4. Blokkeren en wissen: Na deze periode moet de mailbox worden geblokkeerd en uiteindelijk gewist. De gegevens zijn immers niet langer nodig voor het oorspronkelijke doel (professionele communicatie door de medewerker).

In beide zaken werd deze termijn ruimschoots overschreden, wat een inbreuk vormde op de principes van doelbinding en minimale gegevensverwerking (artikel 5.1.b en 5.1.c AVG).

Toegang tot de mailbox: een streng verbod

De GBA is zeer duidelijk: actieve toegang tot de inhoud van de mailbox na het vertrek van de medewerker is in principe niet toegestaan. De rechtsgrond voor de verwerking van e-mails (de uitvoering van de arbeidsovereenkomst) vervalt immers bij de beëindiging ervan.

Zoals bleek uit de tweede zaak, is het doorsturen van e-mails uit de mailbox van een ex-bestuurder een duidelijke inbreuk op artikel 6.1 AVG, omdat er geen geldige rechtsgrond voor deze verwerking bestond.

De uitzondering: het gerechtvaardigd belang

Er is één belangrijke uitzondering mogelijk: het gerechtvaardigd belang (artikel 6.1.f AVG). Een onderneming kan de mailbox langer bewaren (maar niet zomaar actief gebruiken) als dit noodzakelijk is voor de behartiging van haar gerechtvaardigde belangen, zoals het instellen of onderbouwen van een rechtsvordering.

De GBA past hierbij echter een strenge driedelige test toe:

  1. Doeltoets: Is het belang legitiem? De verdediging in een juridische procedure wordt als legitiem aanvaard.
  2. Noodzakelijkheidstoets: Is de bewaring van de volledige mailbox noodzakelijk om dat doel te bereiken? In de eerste zaak was dit het geval, omdat de CEO zelf om een kopie van de mailbox had gevraagd in de arbitrageprocedure.
  3. Afwegingstoets: Wegen de belangen van de onderneming zwaarder dan de privacyrechten van de betrokkene? Hier liep het voor de onderneming in de eerste zaak fout. Hoewel het belang legitiem was, had de onderneming de ex-CEO niet geïnformeerd over dit nieuwe doel (bewaring voor de arbitrageprocedure). Dit ging in tegen de redelijke verwachting van de CEO dat zijn mailbox gewist zou worden, waardoor de belangenafweging in zijn voordeel uitviel.

De conclusie is dat zelfs een beroep op een gerechtvaardigd belang faalt als de onderneming niet transparant communiceert over het waarom van de verdere bewaring.

Het recht op inzage: geen blanco cheque voor de werkgever

De eerste zaak behandelde ook het recht op inzage (artikel 15 AVG). De ex-CEO vroeg een kopie van zijn mailbox, maar de onderneming weigerde dit voor alle professionele en gemengde communicatie, met een beroep op bedrijfsgeheimen en de privacy van derden.

De GBA oordeelde deze weigering onrechtmatig. Een werkgever die inzage weigert, moet:

  • Concreet aantonen welke rechten en vrijheden van anderen daadwerkelijk geschaad zouden worden. Een algemene verwijzing is onvoldoende.
  • Een belangenafweging uitvoeren en documenteren.
  • Alternatieve oplossingen overwegen, zoals het anonimiseren of onleesbaar maken van bepaalde informatie, in plaats van een volledige weigering.

Contractuele bepalingen die stellen dat alle documenten eigendom zijn van het bedrijf, kunnen het recht op inzage in persoonsgegevens niet tenietdoen.

Juridische analyse en duiding

Deze beslissingen van de Geschillenkamer bevestigen en verfijnen een consistente lijn in de handhaving van de AVG op de werkvloer. De ratio decidendi is de bescherming van de redelijke privacyverwachting van de medewerker na diens vertrek. De professionele mailbox, hoewel eigendom van de werkgever, bevat onvermijdelijk persoonsgegevens. De verwerking daarvan moet steeds voldoen aan de basisprincipes van de AVG.

Cruciaal is de nadruk op transparantie (artikel 13 AVG). Het falen van de onderneming in de eerste zaak om haar beroep op ‘gerechtvaardigd belang’ hard te maken, was niet te wijten aan een ongeldig belang, maar aan het gebrek aan communicatie hierover met de betrokkene. Dit onderstreept dat procedurele correctheid even belangrijk is als de materiële rechtsgrond zelf.

Verder wordt de link gelegd met de Wet betreffende de elektronische communicatie, die het opzettelijk kennisnemen van communicatie die niet voor jou bestemd is, sanctioneert. Dit versterkt de positie dat de inhoud van een mailbox, zelfs een professionele, een zekere mate van vertrouwelijkheid geniet.

Voor de rechtspraktijk betekenen deze uitspraken dat een ad-hocbenadering van vertrekkende medewerkers onhoudbaar is. Een gestandaardiseerd, AVG-conform offboardingbeleid is geen luxe, maar een juridische noodzaak.

Wat dit concreet betekent

Voor de werkgever

  • Stel een offboardingbeleid op: Ontwikkel een duidelijke, schriftelijke procedure voor het beheer van IT-accounts bij het vertrek van personeel.
  • Informeer de vertrekker: Licht de medewerker of bestuurder in over de stappen die u zult nemen met betrekking tot zijn/haar mailbox.
  • Handel onmiddellijk: Stel op de dag van vertrek een automatisch antwoord in en blokkeer de toegang voor de gebruiker.
  • Respecteer de termijnen: Houd een maximale termijn van 1 tot 3 maanden aan voor het actief laten van het automatische antwoord. Wis daarna de mailbox.
  • Documenteer uitzonderingen: Indien u de mailbox langer moet bewaren voor een juridisch geschil, documenteer dan uw analyse van het gerechtvaardigd belang en informeer de betrokkene hierover.
  • Neem inzagerecht serieus: Weiger een verzoek tot inzage niet zomaar. Voer een gedocumenteerde analyse uit en probeer conflicterende rechten te verzoenen (bv. door anonimisering).

Voor de vertrokken medewerker/bestuurder

  • Ken uw rechten: U mag verwachten dat uw professionele mailbox na een korte periode wordt afgesloten. Uw ex-werkgever mag de inhoud niet zomaar lezen.
  • Wees proactief: Sorteer voor uw vertrek uw e-mails en scheid strikt persoonlijke berichten van professionele communicatie.
  • Vraag om inzage: U hebt het recht om inzage te vragen in de persoonsgegevens die uw ex-werkgever over u verwerkt, inclusief die in uw oude mailbox. Een weigering moet grondig gemotiveerd zijn.
  • Dien klacht in: Als u vermoedt dat uw mailbox onrechtmatig wordt gebruikt of ingekeken, kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit.

FAQ (Veelgestelde vragen)

Hoe lang mag mijn ex-werkgever mijn professionele mailbox exact actief houden?
De GBA hanteert een richtlijn van één maand. In functies met hoge externe verantwoordelijkheid kan dit verlengd worden tot maximaal drie maanden. Daarna moet de mailbox geblokkeerd en gewist worden.

Mag mijn voormalige baas mijn oude e-mails lezen om “de continuïteit te verzekeren”?
Nee. Toegang tot de inhoud van de mailbox is in principe verboden na uw vertrek. Voor de continuïteit dient het automatische antwoord dat doorverwijst naar een collega. Enkel in zeer specifieke, wettelijk voorziene uitzonderingen, zoals een gerechtelijk onderzoek of een gedocumenteerd juridisch geschil, kan dit eventueel worden toegestaan, maar niet zomaar.

3. Heb ik recht op een volledige kopie van mijn oude professionele mailbox?
U heeft recht op een kopie van uw persoonsgegevens (artikel 15 AVG). Dit betekent niet noodzakelijk een .pst-bestand van de volledige mailbox. Uw ex-werkgever moet uw verzoek behandelen, maar mag de rechten van anderen (bv. privacy van collega’s, bedrijfsgeheimen) beschermen, bijvoorbeeld door bepaalde informatie onleesbaar te maken. Een algemene weigering is echter niet toegestaan.

Conclusie

De recente beslissingen van de Gegevensbeschermingsautoriteit benadrukken dat een zorgvuldig en transparant beheer van de mailboxen van vertrokken medewerkers een juridische plicht is. Het negeren van deze regels stelt ondernemingen bloot aan sancties en reputatieschade. Een proactieve aanpak, verankerd in een helder intern beleid, is de enige manier om conform de AVG te handelen en geschillen te vermijden.

Heeft u te maken met een complexe zaak rond privacy op de werkvloer of een geschil na het vertrek van een medewerker? Onze advocaten, gespecialiseerd in privacyrecht en arbeidsrecht, staan klaar om uw dossier te analyseren. Neem vrijblijvend contact op voor een eerste advies.

Joris Deene

Advocaat-partner bij Everest Advocaten

Bekijk alle posts

Misschien vind je dit ook leuk

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics