Privacy op het werk. Mag een werkgever de e-mail van een werknemer lezen

Wat als je een medewerker verdenkt van foutief gedrag? Bijvoorbeeld het lekken van vertrouwelijke informatie. Mag je de e-mail van deze medewerker lezen om te controleren dit echt zo is? Welke rechten op het gebied van privacy hebben werknemers op de werkvloer?

Recht op privacy werknemer

Iedereen heeft recht op privacy. Dus ook werknemers op het werk. De basisregel is daarom: de werkgever moet altijd rekening houden met de privacy van de werknemer.

De werkgever kan wél als regel instellen dat werknemers het systeem alleen voor werk mogen gebruiken, maar de werkgever kan niet zomaar altijd alles wat de werknemer schrijft lezen en controleren. Als de werkgever zich niet aan de regels houdt, is dit vaak in strijd met de Algemene Verordening Gegevensbescherming (AVG), maar ook met het Europees Verdrag voor de Rechten van de Mens en het arbeidsrecht.

Algemene (automatische) monitoring van werknemers

Het automatisch (steekproefsgewijs) doorzoeken van e-mail of monitoren van internetgebruik kan een goede manier zijn om ongeoorloofd gebruik van IT-middelen op te sporen. Voor deze vorm van monitoring gelden de algemene regels die we uitleggen in dit artikel.

Samengevat:

• Een Data Privacy Impact Assessment (DPIA) is vereist.
• Werknemers moeten van te voren worden geïnformeerd.
• De werkgever moet goed kunnen beargumenteren wat het doel is en dat het bedrijfsbelang zwaarder weegt dan de privacy van de werknemers.

Let op: wat wel en niet mag, kan per situatie verschillen en is niet voor iedere werkgever hetzelfde. Daarom is het belangrijk goed na te denken over de onderbouwing.

Privacy in het personeelsreglement

Het is verder een goed idee om een personeelsreglement (ook bekend als IT-reglement) op te stellen, waarin internet-, e-mail- en social media-gebruik zijn geregeld. Je voldoet dan aan de informatieplicht onder de AVG, en het is later gemakkelijker om aan te tonen dat je volgens de wet hebt gehandeld.

Leg in het personeelsreglement uit dat je als werkgever een “gerechtvaardigd belang” hebt bij de controle, en waarom dit zwaarder weegt dan het recht op privacy van de werknemer. Noem het doel, bijvoorbeeld “beveiliging tegen datalekken”. Vermeld daarbij ook hoe je de privacy van de werknemer beschermt bij de uitvoering van de controles. Bijvoorbeeld: “monitoring is automatisch met behulp van software en de toegang tot de resultaten is beperkt tot bepaalde managers.”

Gerichte controle van individuele medewerkers

Soms willen werkgevers een specifieke werknemer of kleine groep controleren. Dit is dan meestal ook meteen een geheime (“heimelijke”) controle.

Ook dan gelden de algemene regels van de AVG. Daarom kan het best in het IT-reglement (zie vorige paragraaf) ook worden beschreven onder welke voorwaarden zo’n heimelijke controle wordt uitgevoerd.

Verder gelden de volgende extra voorwaarden:

• Verdenking: er moet een redelijke verdenking zijn
• Incidenteel: de controle is incidenteel, niet structureel
• Noodzakelijk: het is niet mogelijk om het gedrag op een andere manier te controleren of beëindigen, dat wil zeggen een minder vergaande manier dan een geheime controle
• Informeren: de medewerker moet achteraf alsnog worden geïnformeerd

Privé e-mails mogen niet gecontroleerd worden. Dit zijn:

• E-mails die duidelijk een privé karakter hebben
• E-mails die gelabeld zijn als “privé”, zoals in de onderwerpbeschrijving, of in een map met dat label

Toegang tot mailaccount bij afwezigheid werknemer

Bij meer langdurige afwezigheid van werknemers is het in het algemeen toegestaan dat werkgevers toegang hebben tot het account van een werknemer. Maar ook in dat geval mogen privé e-mails niet worden gelezen. Het is een goed idee om dit ook op te nemen in een algemeen IT-reglement, zodat duidelijk is wat de regels zijn.

Ontslag en privacy

In praktijk houden werkgevers zich niet aan alle regels. De informatie uit (vertrouwelijke) e-mails wordt toch gebruikt, bijvoorbeeld om een ontslag te forceren. Ontslag valt onder het arbeidsrecht, en hiervoor gelden andere regels dan alleen privacyrecht.

Als een werkgever de regels van het privacyrecht heeft geschonden, betekent dit niet automatisch dat een ontslagzaak niet kan slagen. Informatie uit e-mails mag meestal wél worden gebruikt door de werkgever. De werknemer krijgt dan hooguit een hogere ontslagvergoeding toegewezen, omdat de werkgever in strijd met het privacyrecht heeft gehandeld.

Daarbij is wel belangrijk om in gedachten te houden dat de Autoriteit Persoonsgegevens (AP) zo’n inbreuk op de privacy ook nog kan onderzoeken. De boetes die de AP kan opleggen zijn relatief hoog: tot € 10 miljoen of 2% van de jaaromzet. Volgens het boetereglement van de AP is de “basisboete” € 310.000.

Meer weten over privacyrecht?

Heb je vragen heeft over het monitoren van werknemers of over privacyrecht op de werkvloer? Neem contact op met de Crowe Peak. Onze specialisten helpen je graag verder.