Rood beeldmerk van Rutten & Welling Advocaten
8 januari 2024

Privacy op de werkvloer – monitoren e-mailgebruik door werkgever

 

Heb je als werkgever het recht om je de toegang te verschaffen tot de mailbox van medewerkers en mag je het e-mailgebruik monitoren? Voor de privémail zal iedereen geneigd zijn om te zeggen dat dit de privacy van de werknemer raakt. Ook voor de zakelijke e-mailbox geldt dat de werknemer recht heeft op privacy. Dit recht is niet absoluut. De beide belangen dienen zorgvuldig tegen elkaar te worden afgewogen. Een voorbeeld van die belangenafweging blijkt uit een zaak die speelde bij het Hof Arnhem-Leeuwarden.

Waar ging de zaak over?

ING (werkgever) had na een anonieme melding een intern onderzoek gestart. Die melding hield in dat de werknemer betrokken was bij hypotheekfraude, witwassen en het afromen van geld van supermarkten waarvan hij mede-eigenaar zou zijn. In het kader van dit onderzoek werd ook het zakelijke e-mailgebruik van de werknemer gemonitord. Uit het onderzoek van de zakelijke e-mails kwam naar voren dat de werknemer langdurig diverse niet-gemelde nevenactiviteiten verrichtte, ook onder werktijd en dat hij meerdere keren zonder zakelijke reden via de ING-raadpleegsystemen de gegevens van ING-klanten had geraadpleegd.

De werkgever heeft de kantonrechter vervolgens verzocht om ontbinding van de  (proportionaliteit) arbeidsovereenkomst. Als reden werd, kort gezegd, aangevoerd het door de werknemer verrichten van langdurig niet gemelde nevenactiviteiten en het structureel gebruiken van onder andere zijn werk e-mail en werklaptop voor privédoeleinden.

Of monitoring toelaatbaar is, hangt af van de volgende factoren: (a) is de werknemer vooraf geïnformeerd over de (aard van de) mogelijke monitoring, (b) wat is de omvang en hoe ernstig is de inbreuk op de privacy, (c) heeft de werkgever legitieme gronden die de monitoring rechtvaardigen, (d) was monitoring met minder indringende methoden en maatregelen mogelijk geweest, (e) welke gevolgen heeft de monitoring voor de werknemer gehad en (f) zijn de werknemer adequate waarborgen geboden? Deze factoren zijn afkomstig uit het zogenaamde Bărbulescu-arrest[1] van het Europese Hof voor de Rechten van de Mens (EHRM).

De kantonrechter wijst het ontbindingsverzoek af, omdat niet kon worden vastgesteld of ING bij de monitoring aan de voorwaarden van dat arrest had voldaan. ING gaat in hoger beroep.

Het Hof Arnhem-Leeuwarden legt de monitoring van ING vervolgens langs de lat van het Bărbulescu-arrest. De factoren moeten in onderlinge samenhang worden bezien. Relevante factoren mogen niet afzonderlijk worden beoordeeld. Het gewicht dat wordt toegekend aan de verschillende mee te wegen factoren is afhankelijk van de omstandigheden van het geval. Van de rechter wordt een weging van alle genoemde factoren (a tot en met f) verwacht.

Het hof stelt vast dat de werknemer vooraf niet geïnformeerd is over de mogelijke monitoring en ook niet over de aard daarvan. ING had aangevoerd dat zij een gerechtvaardigd belang had de zakelijke e-mails van de werknemer te bekijken. Namelijk het voorkomen / bestrijden van onder meer fraude. Het voorkomen van illegale praktijken is een legitieme reden, zo stelt ING, om de signalen over strafbare feiten te controleren.

Uit de informatieplicht vloeit een belangrijk gezichtspunt voort, namelijk: Wat was de redelijke verwachting qua privacy van werknemer? Had werknemer kunnen of moeten weten dat en in welke situaties er gemonitord kon worden? Wat had die monitoring dan kunnen inhouden?

Het Hof stelde de ING daarom in de gelegenheid tot levering van bewijs van haar stellingen, in het bijzonder dat er voldoende reden was voor onderzoek van de e-mails en dat er dus sprake was van een ‘redelijke verdenking’. Het Hof staat de werknemer toe te bewijzen dat er zonder voldoende aanleiding of grond, onderzoek naar hem en zijn zakelijke e-mailgebruik is gedaan.

Conclusie:

De werkgever mag niet ‘zomaar’ het e-mailgebruik van werknemers controleren. Ook niet als het gaat om de zakelijke mailbox. De werkgever heeft daarvoor een legitieme reden nodig. Hier gaat het Hof ook toetsen of er wel een legitieme reden was om over te gaan tot controle. Een melding uit een anonieme bron was volgens het Hof onvoldoende.

Verder moet de mogelijkheid tot controle van de zakelijke mailbox voorafgaand aan de controle kenbaar worden gemaakt aan de werknemer. Daarbij is niet vereist dat de werkgever concreet aangeeft wanneer controle wordt uitgevoerd, maar wel dat gecontroleerd kan worden en op welke wijze dat dan gebeurt.

Het is voor een werkgever van belang om gedetailleerde regels op te stellen, waaruit ook blijkt op welke wijze werknemers worden gecontroleerd en op welke wijze de verkregen informatie wordt gebruikt. Bij de wijze waarop de werknemers worden gecontroleerd moet worden gekozen voor de minst ingrijpende manier van controleren. Deze regels moeten kenbaar zijn voor de werknemers. Deze kenbaarheid kan worden gewaarborgd door de regels vast te leggen in een bedrijfsreglement en hier in de arbeidsovereenkomst naar te verwijzen.

Vragen?

Heeft u vragen over privacy, dan kunt u terecht bij Rutten x Welling Advocaten.

[1] Arrest van 15 september 2017 van het EVRM.

Gerelateerde artikelen