Hoe het terugzetten van een mailbox leidt tot een forse AVG boete

Als een medewerker het bedrijf verlaat zal in de meeste gevallen de mailbox worden gesloten en misschien ook gearchiveerd. Met een out-of-office melding of een forward zal iedereen zien dat het adres niet meer kan worden gebruikt. Deze procedure is voor iedereen herkenbaar. We weten ook dat een generiek e-mail adres, zoals sales@bedrijfsnaam amper uit de lucht wordt gehaald. Het tegenovergestelde is eerder het geval. Veel praktischer is het die mailbox door meerdere personen te laten uitlezen.

Afsluiten mailbox

Recent heeft de AVG toezichthouder in Italië een boete van 10.000 Euro opgelegd aan een bedrijf heel erg de mist is ingegaan met het afsluiten van een mailbox. Op basis van het bovenstaande model zou je denken dat er eigenlijk maar twee opties zijn: dichtgooien als het een e-mailadres is dat verwijst naar een persoon en openhouden, of verruimen, als het gaat om een generiek e-mailadres.

Het bedrijf kreeg de boete om de volgende fout. Een medewerker verliet het bedrijf. Afgesproken was dat het e-mailadres uit de lucht zou worden gehaald. Er gebeurde echter iets heel anders. De directie besloot na enige tijd de gearchiveerde mailbox weer open te zetten en meerdere collega’s toegang te geven. Dat was niet afgestemd met de ex-werknemer en het was ook in afwijking van de staande beleid van het bedrijf.

Privé mails

In die postbus zaten niet alleen zakelijke mails, maar ook privé mails. Privé mails, bevatten persoonsgegevens. Die moeten beschermd worden. Het delen met een hele afdeling – nogmaals zonder medeweten van de betroffen persoon – is dat natuurlijk niet.

Het is te makkelijk om de zeggen dat de medewerker het zakelijke adres niet voor privé aangelegenheden had mogen gebruiken. Daar zijn afspraken over te maken, maar het is in de meeste gevallen nooit voor de volle 100 procent te voorkomen. Evenzo is het onverstandig te wijzen naar de werknemer als de persoon die de postbus voor het vertrek had moeten opschonen. Die persoon heeft immers geen toegang tot de back-ups en gearchiveerde bestanden.

De fout is gemaakt door de directie die de opdracht heeft gegeven. Evenzo heeft de IT dienstverlener (intern of extern) een probleem. Uit het boetebesluit blijkt namelijk niet dat die heeft gewezen op het onrechtmatige karakter van de opdracht. De moraal van het verhaal mag duidelijk zijn: niet elke opdracht voor het herstellen van een mailbox kan door de beugel, maar zelfs leiden tot het overtreden van de AVG.

(bron)