Een groot Belgisch techbedrijf heeft een boete van in totaal 176.000 euro gekregen omdat het de mailbox van een ex-medewerkster niet tijdig verwijderde. Dat meldde Security.nl onlangs. Het ging om ruim een jaar na ontslag de mailbox nog aanhouden én niet transparant zijn.

In haar beslissing legt de Belgische Gegevensbeschermingsautoriteit (GBA) uit dat de persoonsgebonden mailbox (voornaam.achternaam apestaartje) weliswaar bij ontslag een out-of-office kreeg, maar een jaar later nog steeds bleek te werken. En die OOO bevatte dit:

“[…] Ik ben momenteel offline met zeer beperkte
toegang tot internet. Gelieve wat vertraging in mijn antwoord te accepteren. […]

Ik snap hoe je als ex-werknemer dan geërgerd denkt, die mailbox moest maar eens opgeheven zijn. Helaas bleek het bedrijf weinig geneigd om daar aan mee te werken. Vandaar de stap naar de GBA.

De GBA stelt voorop dat je ook na vertrek een mailbox moet kunnen aanhouden vanuit bedrijfsbelangen, maar dat het na een maand echt wel klaar moet zijn. Dat is bij hen een consequente lijn, en hoewel de AVG zelf geen formele termijnen kent (ik wil niets meer horen over het stokoude vrijstellingsbesluit van de AP), mag je als toezichthouder best zo’n termijn als hoofdregel stellen.

Als partij kun je dan met een uitleg komen waarom het bij jou écht langer moet zijn dan die maand, maar die was er in dit geval niet. En de GBA haalt zwaar geschut van stal: het kan dan het misdrijf aftappen van privécommunicatie opleveren (privémails in de zakelijke mailbox) als je dan alsnog die mailbox in gaat.

Anders gezegd: je hebt een “degelijk gegevensbeschermingsbeleid door ontwerp van
professionele mailboxen” nodig waarmee je uitwerkt hoe je in persoonsgebonden mailboxen gaat vissen naar zakelijk relevante mails, en hoe je die er binnen een maand uit krijgt om ze in je administratie, zaaksysteem, CRM of whatever te krijgen.

En dat raakt aan een al wat oudere pet peeve van mij: e-mail is een transportmedium, geen administratie of opslag. Eigenlijk zouden mailservers zo ingesteld moeten worden dat alle mails ouder dan 30 dagen vernietigd worden. Wie wil bewaren, moet ze in een administratie of archief opbergen.

Arnoud