Joris DeeneNeen. Een gedeactiveerde mailbox die nog blijft bestaan op de servers van de werkgever volstaat niet om aan de Algemene Verordening Gegevensbescherming (AVG/GDPR) te voldoen — de mailbox moet effectief gewist worden. De Geschillenkamer van de GBA legde op 12 mei 2026 (nr. 101/2026) een Belgisch tech-bedrijf een totale geldboete van 176.946,61 EUR op omdat de mailbox van een vertrokken zelfstandig consulente in een zogenaamde “back-up modus” was blijven staan. Het is meteen ook de laatste beslissing van directeur Hielke Hijmans inzake mailboxbeheer, en bestendigt een handhavingslijn die ICT Rechtswijzer in eerdere bijdragen al uitvoerig heeft toegelicht.
De feiten
Een groot Belgisch tech-bedrijf (jaaromzet 804 miljoen EUR; jaarlijks zo’n duizend in- en uitstromers) telt onder zijn medewerkers ook een “extended workforce” van zelfstandige consulenten. Eén van hen beëindigde haar samenwerking op 1 mei 2023. Vóór haar effectieve vertrek had zij zelf twee out-of-office berichten ingesteld: een interne (“dit e-mailadres is niet langer in gebruik, gelieve mij te contacteren op …”) en een externe variant die enkel meldde dat zij “momenteel offline” was met “beperkte toegang tot internet”.
In het najaar van 2023 stelde zij vast dat correspondenten haar nog steeds via dat professionele adres trachtten te bereiken. In januari 2024 contacteerde zij de DPO van het bedrijf. Die bevestigde dat de mailbox “inderdaad nog actief” was. Het was, aldus de werkgever, een “eenmalige menselijke fout”: de mailbox was bij het vertrek wel gedeactiveerd, maar nooit handmatig verwijderd, en stond sindsdien in een “back-up modus” waarin enkel via een goedkeuringsprocedure toegang kon worden verleend.
De consulente vroeg inzage in de e-mails die haar in tussentijd waren toegekomen. De DPO bood enkel een gefilterde inzage aan: enkel mails van na haar vertrek, enkel van externe afzenders en enkel op de kantoren van het bedrijf onder toezicht van een niet nader gedefinieerde “neutrale persoon”. De consultant diende klacht in bij de GBA op 23 april 2024.
De beslissing
De Geschillenkamer stelt vijf afzonderlijke inbreuken op de AVG vast.
In de eerste plaats oordeelt zij dat de werkgever de persoonsgegevens van de klager en haar contacten onrechtmatig is blijven verwerken na 1 juni 2023. Vanaf het vertrek beschikt de werkgever weliswaar over een gerechtvaardigd belang in de zin van art. 6.1.f AVG om de mailbox actief te houden, maar dat belang is dubbel beperkt — in duur (één maand, eventueel verlengbaar tot drie mits gemotiveerde belangenafweging) en in doel (het informeren van de contactpersonen via een correct out-of-office bericht). Beslissend is dat de Geschillenkamer het deactiveren van een mailbox uitdrukkelijk niet gelijkstelt aan het wissen ervan: zolang de persoonsgegevens nog worden bewaard en (al was het beperkt) toegankelijk blijven, worden zij nog steeds verwerkt in de zin van art. 4.2 AVG en moet de verwerkingsverantwoordelijke daarvoor een rechtsgrond kunnen aantonen.
Daarnaast schendt de werkgever zijn transparantieplicht onder art. 12 en 13 AVG. De cruciale informatie aan derden — namelijk dat de medewerkster de organisatie definitief had verlaten — werd niet gegeven: het out-of-office bericht voor externe correspondenten suggereerde enkel een tijdelijke afwezigheid. Het feit dat de werkgever het opstellen van die automatische berichten had gedelegeerd aan de vertrekkende medewerkster ontslaat hem niet van zijn eigen verantwoordelijkheid om de transparantie te waarborgen.
Verder stelt de Geschillenkamer een schending van art. 24 AVG vast. Het proces van afsluiten en wissen van mailboxen verliep volledig manueel, ondanks een jaarlijks verloop van ongeveer duizend medewerkers en duidelijk beschikbare technische middelen om dit te automatiseren of minstens consequent te controleren. De bestaande managementprocessen uit 2016 voorzagen wél in een controlemaatregel (de teruggave van de lijst van effectief verwijderde mailboxen), maar deze werd in de praktijk niet opgevolgd.
Daarbovenop is het recht op inzage geschonden (art. 12 en 15 AVG). De voorgestelde filtering ging te ver: het feit dat een correct out-of-office voor interne collega’s was ingesteld is geen geldig criterium om de inzage in mails van interne collega’s te weigeren, en het uitfilteren van bedrijfsgeheimen had moeten gebeuren op basis van de bestaande classificatie van de werkgever (public/restricted/confidential/strictly confidential), niet als een algemene weigering.
Tenslotte oordeelt de Geschillenkamer dat het beginsel van vertrouwelijkheid en integriteit (art. 5.1.f juncto art. 5.2 AVG) is geschonden. De klager wees op een specifieke e-mail die volgens de activiteitenlogs op het moment van ontvangst zou zijn “geopend”. De werkgever schreef dit toe aan automatische veiligheidsscans, maar legde geen log files van de relevante periode voor en kon dus niet aantonen dat de vertrouwelijkheid en integriteit van de mailbox was gewaarborgd — terwijl hij daartoe op grond van zijn verantwoordingsplicht wel verplicht was.
De Geschillenkamer beveelt de werkgever om de nodige technische en organisatorische maatregelen alsnog te treffen, om de klager binnen 30 dagen inzage te verlenen, om de mailbox vervolgens te wissen en om de toegangslogs over te maken. Daarnaast worden twee afzonderlijke administratieve boetes opgelegd. Op grond van verzachtende omstandigheden (snelle reactie van de DPO, lopend automatiseringstraject, afwezigheid van eerdere klachten en geen aantoonbaar voordeel) verlaagt de Geschillenkamer de oorspronkelijke uitgangsbedragen met 95%. Dat resulteert in een eindboete van 160.860,55 EUR voor de inbreuk op het rechtmatigheidsbeginsel en 16.086,06 EUR voor de inbreuk op de transparantieplicht.
Juridische analyse en duiding
Deactiveren is geen wissen — een lijn die zich verhardt
De doctrine dat een mailbox van een ex-medewerker na uiterlijk drie maanden definitief moet verdwijnen is op zich niet nieuw. De Geschillenkamer verwijst zelf naar haar eerdere beslissingen 64/2020, 133/2021, 138/2024, 134/2025 en 1/2026. Op ICT Rechtswijzer werden die laatste drie al uitvoerig becommentarieerd: zie Mag uw ex-werkgever uw mailbox bewaren na uw vertrek?, Wat mag uw ex-werkgever doen met uw professionele e-mail en gsm na uw vertrek? en Hoelang mag een werkgever uw e-mailadres behouden na uw vertrek?.
Wat in beslissing 101/2026 nieuw is, is de geldelijke ernst van het verdict. Waar in beslissing 1/2026 nog werd volstaan met een berisping — met expliciete verwijzing naar het Deutsche Wohnen-arrest van het HvJ — kiest de Geschillenkamer nu voor een aanzienlijke boete. Het signaal is duidelijk: een puur technische “isolatie” van de mailbox volstaat niet, en het excuus van de “eenmalige menselijke fout” houdt geen stand bij een organisatie die zelf erkent ongeveer duizend uitstromen per jaar te verwerken. Wie de stand van de techniek niet benut om dit proces te automatiseren of minstens systematisch te controleren, is volgens de Geschillenkamer nalatig.
Ook opmerkelijk: deze leer geldt evenzeer voor zelfstandige consulenten als voor werknemers in arbeidsovereenkomst. Het arbeidsrechtelijke statuut van de betrokkene is voor de AVG-beoordeling van het mailboxbeheer dus irrelevant.
Het out-of-office als verantwoordelijkheid van de werkgever
Een tweede markant element is de strenge positie tegenover het delegeren van het out-of-office bericht. De werkgever stelt vrij overtuigend dat het voor een organisatie met duizend uitstromen per jaar feitelijk onmogelijk is om voor elke vertrekker zelf een gepersonaliseerd bericht op te stellen — alleen al omdat het de vertrekkende medewerker is die het beste weet aan welke specifieke contactpersoon zijn lopende dossiers moeten worden gericht. De Geschillenkamer wijst dit argument af: het out-of-office is een uitvoeringsmodaliteit van de transparantieplicht die op de verwerkingsverantwoordelijke rust, en die plicht kan men niet doorschuiven naar de betrokkene.
Vanuit zuiver juridisch oogpunt is dat te verdedigen — art. 12 en 13 AVG leggen de informatieplicht expliciet bij de verwerkingsverantwoordelijke. Vanuit praktisch oogpunt is de redenering moeilijker te combineren met de operationele werkelijkheid van grote organisaties, zeker bij een ontslag om dringende reden of in een conflictueuze vertreksituatie waarin van coöperatieve medewerking weinig sprake zal zijn. De Geschillenkamer lijkt in deze beslissing — net als in voorgaande — relatief weinig gewicht te geven aan de bedrijfscontinuïteit als legitieme tegenwaarde. Het Marktenhof zal dit thema in beroep wellicht moeten verfijnen.
Geen log files, geen bewijs: de scherpe werking van art. 5.2 AVG
Een derde, vaak onderschat aspect is hoe de Geschillenkamer art. 5.2 AVG (de verantwoordingsplicht) inzet om een schending van het vertrouwelijkheidsbeginsel af te leiden. De werkgever stelde dat geen enkele toegang tot de mailbox had plaatsgevonden, maar legde slechts log files voor een korte periode in 2024 voor. De Geschillenkamer concludeert: wie zijn vertrouwelijkheidswaarborg niet kan bewijzen, terwijl hij daar technisch wél toe in staat is, schendt art. 5.1.f AVG.
Voor de praktijk is dat een waarschuwing met aanzienlijke implicaties. De DPO die in een klachtprocedure stelt dat “de mailbox niet werd geraadpleegd”, maar dat niet met log files staaft, zal die stelling niet aanvaard zien. Bewijslast verloopt hier eerder volgens de logica van een opklimmende vermoedensregel dan volgens de civielrechtelijke verdeling: zodra de betrokkene een geloofwaardige aanwijzing aanlevert (in dit dossier: een e-mail die volgens de activiteitenlogs op het ontvangstmoment “geopend” stond), is het aan de verwerkingsverantwoordelijke om volledig en gedocumenteerd te weerleggen.
Wat betekent dit concreet?
Voor werkgevers en DPO’s. Een AVG-conform offboardingbeleid is niet langer een nice-to-have. Vier elementen verdienen onmiddellijke aandacht. Automatiseer het wissingsproces: handmatige procedures voor accountverwijdering houden bij een groter personeelsverloop geen stand. Stel een sluitende controlemaatregel in waarbij de lijst van te verwijderen mailboxen automatisch wordt vergeleken met de lijst van effectief verwijderde mailboxen, met een alarmfunctie bij discrepantie. Stel zelf het out-of-office bericht in (of automatiseer dat) en verifieer of het correct werkt — een delegatie aan de vertrekkende medewerker is geen volwaardige uitvoering van de transparantieplicht. En bewaar log files van toegang tot mailboxen voldoende lang om in geval van een klacht achteraf de afwezigheid van ongeoorloofde toegang te kunnen aantonen.
Daarnaast is het aangewezen om de classificatie van bedrijfsinformatie zo te organiseren dat bij een verzoek tot inzage van een ex-medewerker een selectieve filtering technisch mogelijk is, zonder dat het recht op inzage in blok kan worden geweigerd. En tot slot: een eventueel “gerechtvaardigd belang” om de mailbox in stand te houden voor een dreigend of lopend geschil moet vooraf en transparant aan de betrokkene worden gemotiveerd; achteraf opduiken met die rechtsgrond zal niet volstaan.
Voor (ex-)medewerkers en zelfstandige consulenten. U heeft het recht om uw professionele mailbox na een redelijke termijn — in beginsel één maand, uitzonderlijk drie — definitief gewist te zien. Indien u vaststelt dat uw oude mailadres nog actief is, kunt u een schriftelijk verzoek tot wissing en tot inzage richten aan de werkgever, die daarop binnen 30 dagen moet antwoorden. Een algemene weigering van het inzagerecht op grond van “bedrijfsgeheimen” is niet toegelaten; de werkgever moet concreet aangeven welke rechten van derden of welke bedrijfsgevoelige informatie geraakt zouden worden, en bij voorkeur via anonimisering een evenwicht zoeken. Bij gebrek aan gevolg kunt u klacht indienen bij de GBA.
Veelgestelde vragen (FAQ)
Wanneer moet de mailbox van een ex-medewerker definitief gewist zijn?
In beginsel één maand na het vertrek. Die termijn kan verlengd worden tot maximaal drie maanden mits een gemotiveerde belangenafweging, waarvan de betrokken medewerker vooraf op de hoogte wordt gebracht. Daarna moet de mailbox effectief verdwijnen: enkel deactiveren of “in back-up zetten” volstaat niet. Het uitzetten van een licentie of het beperken van de toegang verandert niets aan het feit dat de gegevens nog steeds bewaard en dus verwerkt worden.
Mag de werkgever het out-of-office bericht laten instellen door de vertrekkende medewerker zelf?
Beter niet. De transparantieplicht onder art. 12 en 13 AVG rust op de werkgever als verwerkingsverantwoordelijke. Wie het opstellen van het bericht volledig delegeert aan de vertrekker — en achteraf niet controleert of het bericht correct vermeldt dat de samenwerking is beëindigd en wie de vervangende contactpersoon is — riskeert een vaststelling van schending, zelfs als de vertrekker zelf in gebreke is gebleven.
Heeft een ex-medewerker recht op een volledige kopie van zijn oude mailbox?
Het recht op inzage van art. 15 AVG betreft de persoonsgegevens van de betrokkene en strekt zich niet automatisch uit tot elke e-mail in haar geheel. Een werkgever mag bedrijfsgeheimen en de privacy van derden beschermen, maar moet dat concreet en gedocumenteerd doen — niet via een algemene weigering. Anonimisering, gerichte filtering op basis van een bestaande classificatie of inzage onder toezicht zijn proportionele tussenoplossingen. Een principiële weigering of een filtering op basis van willekeurige criteria (zoals: “enkel mails van externe afzenders” omdat voor interne mails een out-of-office was ingesteld) is niet toegelaten.
Conclusie
Beslissing 101/2026 verfijnt en verstrengt een handhavingslijn die de Belgische DPA al jaren consequent volgt: de mailbox van een vertrokken medewerker is geen bedrijfsarchief, deactivatie is geen wissing, en het ontbreken van log files speelt in het nadeel van de werkgever. De forse boete maakt duidelijk dat de tijd van louter berispingen voorbij is, zeker voor organisaties met een aanzienlijk personeelsverloop. Een goed gedocumenteerd, geautomatiseerd en gecontroleerd offboardingbeleid is dan ook geen luxe, maar een juridische noodzaak.
Dutch 
English