De Gegevensbeschermingsautoriteit (GBA) geeft een aantal duidelijke richtlijnen mee die werkgevers zouden moeten volgen bij het vertrek van hun medewerkers:
- de verwerkingsverantwoordelijke dient de e-mail-accounts van ex-werknemers te blokkeren ten laatste op het moment van hun effectief vertrek;
- de ex-werknemer moet hiervan op de hoogte zijn gebracht en er moet voorzien worden in een automatisch bericht waarin de geadresseerde erop wordt gewezen dat de persoon die hij probeerde te contacteren, de organisatie heeft verlaten;
- na een redelijke termijn (a priori een maand) moet de mailbox – en het automatisch bericht – verwijderd worden. De GBA wijst erop dat – rekening houdend met de context en de graad van verantwoordelijkheid van de ex-werknemer – een langere termijn voor het automatisch bericht kan voorzien worden, maar idealiter niet langer dan 3 maanden. Deze verlenging van de termijn dient te worden gemotiveerd en gebeurt best in onderling akkoord met de ex-werknemer. Minstens moet de ex-werknemer van de verlenging worden verwittigd. Het gedurende een beperkte tijd actief houden van de mailbox kan gebaseerd worden op het gerechtvaardigd belang van de onderneming, met name het verzekeren van de continuïteit van de prestaties en het goed functioneren;
- vóór de deactivering dienen de werknemer die vertrekt en eventuele derden hierover geïnformeerd te worden, om de werknemer de mogelijkheid te geven zijn e-mails te sorteren en door te sturen naar zijn privé e-mailadres vóór zijn effectief vertrek.
- teneinde te vermijden dat de onderneming nog toegang dient te hebben tot de e-mailaccount van de ex-werknemer na zijn vertrek, dienen e-mails uit de e-mail-account van de betrokken werknemer, die van wezenlijk belang zijn om de goede werking van de onderneming te verzekeren, te worden gerecupereerd vóór het vertrek van de werknemer en in zijn aanwezigheid.
Gelet op het principe van de verantwoordingsplicht (“accountability”) komt het aan de werkgever toe om, bij het vertrek van medewerkers, te kunnen aantonen dat bovenvermelde stappen correct werden nageleefd.
De GBA wijst tenslotte op het belang van een goed uitgewerkte procedure bij vertrek van de werknemer die moet worden opgenomen in de ICT Policy.
In haar beslissing gaat de GBA duidelijk uit van het uitgangspunt dat de mailbox van de betrokken ex-werknemers ook voor privé correspondentie mocht worden gebruikt. Het is nochtans mogelijk om het privégebruik van de professionele mailbox te verbieden, op voorwaarde dat je de werknemers dan wel de mogelijkheid geeft om tijdens de werkdag online een privémailbox (genre Gmail, Hotmail, …) te consulteren. In een aanbeveling inzake cybersurveillance van 2 mei 2012 van de toenmalige Privacycommissie (omgevormd tot de GBA) wordt immers bevestigd dat professionele en privé-informatie zoveel als mogelijk gescheiden moeten worden en gewerkt kan worden met afzonderlijke accounts. Bij gescheiden e-mailgebruik kan o.i. dan ook een minder stringent vertrekbeleid verdedigbaar zijn.
In de hierboven vermelde aanbeveling Cybersurveillance van 2012 had de toenmalige Privacycommissie ook al gewezen op het belang van functioneringsregels in geval van afwezigheid (bv. vakantie, ziekte, …) en vertrek van een werknemer uit de onderneming. Op basis van deze aanbeveling was beperkte toegang tot de e-mailaccount van de werknemer na diens vertrek nog wel toegelaten, maar raadde de Privacycommissie aan om hiervoor een ‘vertrouwenspersoon’ in te schakelen. Op basis van deze recente beslissing van de GBA lijkt toegang tot de mailaccount na het vertrek van de werknemer echter in principe niet meer toegelaten.