Inzage in de mailbox van (zieke) medewerkers, mag dat zomaar?

In veel organisaties heeft iedere werknemer een zakelijk e-mailadres. Dit mailadres is vaak persoonlijk. Dat wil zeggen: het is toegewezen aan een individuele medewerker. Het hoofddoel van zo’n e-mailadres is communicatie ten behoeve van de uitvoering van werkzaamheden. De werkgever heeft er belang bij dat de werkzaamheden correct en tijdig worden uitgevoerd, ook wanneer een werknemer ziek wordt. In een dergelijke situatie kan bij werkgever de behoefte ontstaan om zich toegang tot de individuele mailbox te verschaffen. Bijvoorbeeld omdat deze e-mails bevat die noodzakelijk zijn voor het voortzetten van werkzaamheden.

Bij inzage in deze mailboxen komt werkgever mogelijk ook privé-gegevens tegen en dit kan daarmee een inbreuk op artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM) betekenen. Ofwel, een inbreuk op de persoonlijke levenssfeer van de werknemer. Staat artikel 8 van het EVRM, dat het recht op privéleven beschermt, in de weg van de werkgever die zich vanwege voortgang van de werkzaamheden toegang tot de zakelijke mailbox van zieke werknemers wil verschaffen? Om dit te kunnen beoordelen zoomen we eerst in op de gezagsrelatie tussen werkgever en werknemer, waarna we toetsen of deze binnen de reikwijdte van artikel 8 EVRM en de Algemene Verordening Gegevensbescherming (AVG) valt. Tot slot bekijken we onder welke voorwaarden een rechtmatige inbreuk gemaakt kan worden.

Gezagsrelatie

Tussen werkgever en werknemer is er sprake van een gezagsrelatie die zijn grondslag vindt in Art. 7:610 BW. Dit wetsartikel stelt dat een werknemer zich ‘in dienst van’ werkgever verbindt om arbeid te verrichten. De woorden ‘in dienst van’ kenmerken zich door ondergeschiktheid en instructiebevoegdheid. Het risico hiervan is dat de werknemer zich snel verplicht kan voelen om persoonlijke informatie met de werkgever te delen. Dit komt ook naar voren in Bărbulescu t. Roemenië.  Het EHRM betoogde dat het door nieuwe technologieën gemakkelijker is voor werkgevers om in het privéleven van werknemers te snuffelen en dat de natuurlijke ongelijkheid het risico op onrechtmatige inmenging door werknemers vergroot.

Juridische context art. 8 EVRM

De werknemer heeft op grond van artikel 8 EVRM het recht op eerbiediging van privé-, familie- en gezinsleven, zijn woning en zijn correspondentie. Hoewel de wettekst van artikel 8 EVRM geen bepalingen omtrent de werkplek bevat, wordt dit recht in jurisprudentie ruimer opgevat. In Bărbulescu t. Roemenië oordeelde het Europees Hof voor de Rechten van de Mens (EHRM) dat werknemers hun recht op privacy niet verliezen zodra ze de werkvloer betreden. Het doel van artikel 8 is het beschermen van het individu tegen arbitraire inmenging door de overheid. Het recht op privéleven houdt tevens in het aangaan en ontwikkelen van relaties. Gezien tijdens werktijd veel kans bestaat om relaties met andere mensen aan te gaan of te ontwikkelen, is het verdedigbaar om bepaalde beroeps- en bedrijfsmatige activiteiten onder de werkingssfeer van dit artikel te laten vallen.

Artikel 8 lid 2 EVRM laat onverlet dat autoriteiten de mogelijkheid behouden het recht op eerbiediging van het privéleven te beperken. Het EVRM wijst dit recht echter toe aan openbaar gezag, een werkgever kan niet tot deze categorie worden gerekend. Toch heeft artikel 8 EVRM op basis van jurisprudentie ook horizontale werking. Wanneer een wet horizontale werking heeft, is deze van betekenis in rechtsbetrekkingen tussen burgers onderling. Artikel 8 EVRM heeft dus zowel verticale- (burger-staat) en horizontale werking. De arbeidsverhouding tussen werkgever en werknemer vertoont door de ondergeschiktheid en gezagsrelatie kenmerken van een verticale verhouding, desondanks is de arbeidsverhouding een voorbeeld van een horizontale werking.

Een horizontale werking komt voort uit de positieve verplichting die het EVRM aan de overheid (openbaar gezag) toekent. De overheid kan namelijk de rechten uit het EVRM schenden door niets te doen en een passieve houding aan te nemen bij het beperken van een grondrecht door onderlinge burgers.

In Nederland is deze positieve verplichting op zowel Europees als Nationaal niveau uitgewerkt. Op grond van artikel 93 en 94 Grondwet (Gw) werkt artikel 8 EVRM rechtstreeks door in de Nederlandse rechtsorde. Daarnaast zien we deze positieve verplichting terug in de AVG, artikel 10 Gw en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). Een werknemer kan zich rechtstreeks beroepen op artikel 8 EVRM en dus zal de werkgever zijn inbreuk moeten toetsen aan de AVG, UAVG, Gw en artikel 8 EVRM.

Artikel 8 EVRM is dus van toepassing tussen werkgever en werknemer en dat houdt in dat het recht tot beperking van het recht op eerbiediging van privé-, familie- en gezinsleven, woning en correspondentie, onder voorwaarden door een werkgever beperkt mag worden.

Algemene Verordening Gegevensbescherming (AVG)

De AVG beschermt natuurlijke personen bij de verwerking van hun persoonsgegevens. Dit betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijk persoon. Dit kan gaan om NAW-gegevens, maar ook BSN, e-mailadressen, belgegevens, locatiegegevens, IP-adressen en salarisgegevens kunnen in bepaalde context worden aangemerkt als persoonsgegevens. De bepalingen uit de AVG zijn van toepassing op de verwerking van persoonsgegevens. Bij verwerking kunnen we o.a. denken aan het verzamelen, raadplegen, opslaan, wijzigen, vernietigen of verspreiden van gegevens. Dit kan dus tevens het raadplegen van de zakelijke mailbox van medewerkers betreffen.

Het spreekt dus voor zich dat er bij het inzien van de zakelijke mailboxen van medewerkers een verwerking van persoonsgegevens plaatsvindt door de werkgever. Deze persoonsgegevens omvatten minimaal volledige e-mailmappen, correspondentie en persoonsgegevens van alle mogelijke derden die in deze mailbox voorkomen. Dit maakt dat de werkgever altijd een grondslag zal moeten hebben voor het doorzoeken van de zakelijke mailbox van zijn werknemer, dat deze verwerking noodzakelijk, proportioneel en subsidiair moet zijn en dat de gegevens passend moeten worden beveiligd. Ook het EHRM oordeelde in Z. t. Finland dat het recht op eerbiediging van het privéleven uit artikel 8 EVRM tevens toeziet op persoonsgegevens.

Op grond van Art. 5 en 6 AVG mag verwerking van persoonsgegevens enkel plaatsvinden wanneer dit noodzakelijk is voor het behalen van een duidelijk vooraf vastgesteld doel en op basis van een rechtmatige grondslag. Deze grondslagen zijn:

• Toestemming van de betrokkene waarvan de gegevens worden verwerkt.
• Het is noodzakelijk om gegevens te verwerken voor de uitvoering van een overeenkomst.
• Het is noodzakelijk om gegevens te verwerken vanwege een wettelijke verplichting.
• Het is noodzakelijk om gegevens te verwerken voor het beschermen van vitale belangen.
• Het is noodzakelijk om gegevens te verwerken voor het uitoefenen van een taak van algemeen belang of openbaar gezag.
• Het is noodzakelijk om gegevens te verwerken voor het behartigen van uw gerechtvaardigd belang.

Redelijke privacyverwachting

Eerder kwam al aan bod dat bepaalde beroeps- en bedrijfsmatige activiteiten onder de werkingssfeer van art. 8 EVRM vallen. Om het begrip ‘privéleven’ ofwel ‘privacy’ verder af te bakenen, hanteert het EHRM de notie van de ‘reasonable expectation of privacy’, de redelijke privacyverwachting. Dit betekent dat in specifieke omstandigheden mag worden verwacht dat de privacy wordt gerespecteerd.

Ook werknemers kunnen een redelijke privacyverwachting hebben bij bijvoorbeeld de inzet van camera’s of het controleren van mail- en surfgedrag. In de zaak Halford t. Verenigd Koningkrijk oordeelde het EHRM dat de werknemer waarbij telefoongesprekken werden afgeluisterd, een redelijke privacyverwachting mocht hebben. Telefoongesprekken (en daarvan afgeleid dus ook e-mails) kunnen volgens het EHRM worden beschermd door het recht op privéleven.

Het privéleven kent daarom ook in de arbeidsrelatie een begrenzing. Wanneer een werknemer in bepaalde omstandigheden niet kon verwachten dat zijn recht op eerbiediging van de persoonlijke levenssfeer zou worden beschermd, bestaat er dus geen redelijke privacyverwachting en valt dit niet onder de werkingssfeer van artikel 8 EVRM.

Voorwaarden voor gerechtvaardigde inmenging

Uit al het voorgaande blijkt dat het recht op bescherming van het privéleven van werknemers ver strekt, ook tot de zakelijke mailbox. Toch is dit recht niet onbeperkt. In een recente zaak van de Rechtbank Rotterdam (ECLI:NL:RBROT:2022:7736) bepaalde de rechtbank dat werkgever een rechtmatig zwaarwegend belang had om zich toegang tot de zakelijke mailbox te verschaffen, en dat dit belang zwaarder woog dan de bescherming van het privéleven.

Dat impliceert dat indien er sprake is van een groot bedrijfsbelang, de werkgever kennis mag nemen van de mailbox van zijn medewerkers. Hierbij zal altijd een belangenafweging moeten plaatsvinden tussen het recht op privacy en het bedrijfsbelang. Beperking van het recht op privéleven is mogelijk voor zover dit (a) bij wet is voorzien, (b) een legitiem doel dient en (c) noodzakelijk is in een democratische samenleving. Deze voorwaarden zijn cumulatief, wat betekent dat wanneer aan één van de voorwaarden niet wordt voldaan, een inbreuk op artikel 8 EVRM niet gerechtvaardigd is.

Het EHRM stelde in Bărbulescu richtsnoeren waaraan moet worden voldaan om een inbreuk op artikel 8 EVRM te mogen maken:

• Is de werknemer vooraf geïnformeerd door de werkgever?
• Heeft werkgever legitieme doelen die de inbreuk rechtvaardigen?
• Is inzage in de mailbox de minst ingrijpende oplossing?
• Welke (mogelijke) gevolgen heeft inzage in de mailbox voor de medewerker?
• Wat is de omvang (duur) van de inzage en hoe ernstig is de inbreuk op de privacy van de medewerker?

Inzien van de zakelijke mailbox

In 2007 besloot een teamleider de zakelijke mailbox van een zieke medewerker in te zien om na te gaan of daar belangrijke e-mails in stonden die noodzakelijk waren voor de doorgang van de werkzaamheden. Hierbij stuitte hij op berichten waarin werkneemster negatief over hem sprak tegen derden. De teamleider besprak dit met werkneemster in het beoordelingsgesprek. De Ombudsman oordeelde dat de werkgever (teamleider) de mailbox wel had mogen inzien om ervoor te zorgen dat de voortgang van de werkzaamheden niet in gevaar zou komen, maar dat hij niet gerechtigd was om berichten met een duidelijk privékarakter in te zien.

Bovengenoemd oordeel van de Ombudsman bevestigt ondanks de verstreken tijd in een snel veranderend rechtsgebied, hetgeen eerder werd uiteengezet. Een werkgever mag dus enkel inbreuk op de eerbiediging van het privéleven als bedoeld in artikel 8 EVRM maken en/of persoonsgegevens op grond van de AVG verwerken, wanneer hij daarvoor een legitiem doel, een gerechtvaardigd belang en een noodzaak heeft. Daarnaast dient de inbreuk proportioneel en subsidiair te zijn, het dient in verhouding te staan tot het belang van de werkgever en er is geen minder ingrijpende manier om doorgang van werkzaamheden te bewerkstelligen.

Een eenduidig antwoord op de vraag of Art. 8 EVRM de werkgever in de weg staat om zich bij ziekte van zijn werknemer toegang tot de zakelijke mailbox te verschaffen, is dus lastig te geven. Wel constateren we dat de belangen van werknemers absoluut door Art 8 EVRM worden beschermd en de werkgever enkel onder strenge voorwaarden een inbreuk op het recht op privéleven kan maken.

Bronnen:

EHRM 5 september 2017, ECLI:CE:ECHR:2017:0905JUD006149608 (Bărbulescu t. Roemenië)
EHRM 16 december 1992, ECLI:NL:XX:1992:AD1800 (Niemietz)
EHRM 2 december 2008, ECLI:CE:ECHR:2008:1202JUD000287202 (K.U. t. Finland)
HR 09 januari 1987, ECLI:NL:PHR:1987:AG5500, (Edamse bijstandsvrouw)
EHRM 25 februari 1997, ECLI:CE:ECHR:1997:0225JUD002200993 (Z. t. Finland)
EHRM 25 juni 1997, ECLI:CE:ECHR:1997:0625JUD002060592 (Halford t. Verenigd Koninkrijk)
RB 13 september 2022, ECLI:NL:RBROT:2022:7736
Hof 3 juni 2014, ECLI:NL:GHARL:2014:4043

E.H. Damen & I. Baijens, Monitoring van werknemers: het juridisch kader, ArbeidsRecht 2022/19, 15 maart 2022

S.M. Dielemans-Goossens & M.R. Baneke, Tijdschrift Mededingingsrecht in de Praktijk, SDU uitgevers, maart 2018,

Mr. Drs. M.S.A. Vegter, 3 november 2007, SDU uitgevers JAR verklaard

Nationale Ombudsman, 7 juni 2007, JAR 2007/164