Ook het notariaat blijft in zijn dagelijkse werkzaamheden niet buiten het bereik van de Algemene Verordening Gegevensbescherming (GDPR). Zo is de verwerking van persoonsgegevens van notariaatsmedewerkers voor elk notariaat een belangrijk aandachtspunt. Van aanwerving tot uitdiensttreding verwerken notariskantoren persoonsgegevens van medewerkers. Dat brengt in de praktijk heel wat vragen met zich mee: Mag u de elektronische communicatie van medewerkers (bv. via Outlook) controleren? Wat gebeurt er met de mailbox van een medewerker die vertrekt? Hoe moet u omgaan met de opvolging van een mailbox van een afwezige medewerker? In dit artikel bieden we u praktische handvatten op deze drie vragen zodat u hiermee aan de slag kan binnen uw notariskantoor.

In dit artikel bespreken we zowel de controle van elektronische communicatiegegevens als de toegang tot mailboxen van medewerkers. Verlies daarnaast ook zeker niet de algemene verplichtingen in het kader van de GDPR uit het oog die van toepassing zijn. Denk hierbij bijvoorbeeld aan de verplichtingen tot het houden van het register van verwerkingsactiviteiten, het opstellen en het beschikbaar stellen van privacyverklaringen, het sluiten van noodzakelijke (verwerkers)overeenkomsten met externe partijen, en de medewerkers in staat stellen om hun rechten uit te oefenen (bv. recht op inzage).

​Werkgevers hebben het recht om toezicht te houden op de elektronische communicatie.

Controle van elektronische communicatie van medewerkers

Kan u de berichten van medewerkers controleren (bv. de inhoud van e-mails, bezochte websites, adressen van ontvangers, …)? Werkgevers hebben het recht om toezicht te houden op de elektronische communicatie die plaatsvindt met de middelen die zij voor werkdoeleinden ter beschikking stellen, zoals Microsoft Teams, Outlook en internet. Dit recht is gebaseerd op de uitoefening van het werkgeversgezag en vereist geen voorafgaande toestemming van de werknemer. Het verkrijgen van een geldige toestemming van de werknemer is bovendien niet mogelijk, gezien de gezagsverhouding die bestaat tussen werkgever en werknemer. Het werkgeversgezag vormt een zogenaamd “gerechtvaardigd belang” in de zin van de GDPR. De controle door de werkgever wordt wel strikt beperkt in het bijzonder door cao nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens (BS 29 juni 2002).

Voor zelfstandige medewerkers kan u de controle eventueel wel baseren op hun voorafgaande toestemming. U kan deze toestemming bijvoorbeeld vastleggen in een afzonderlijke bijlage bij hun zelfstandige overeenkomst. In elk geval raden we aan om hierbij ook rekening te houden met de principes uit cao nr. 81.

Finaliteit

Cao nr. 81 bepaalt dat controle enkel mogelijk is met het oog op het nastreven van vier limitatief opgesomde doeleinden:

1. het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of die de waardigheid van een andere persoon kunnen schaden (bv. hacking van computers, raadplegen van pornografische of gokwebsites, raadplegen van websites die aanzetten tot discriminatie, rassenscheiding, haat of geweld);
2. de bescherming van de economische, handels- en financiële belangen van het notariskantoor die vertrouwelijk zijn, alsook het tegengaan van ermee in strijd zijnde praktijken (bv. afbrekende reclame, verspreiding van vertrouwelijke bestanden en schending van zakengeheimen);
3. de veiligheid en/of goede technische werking van de IT-netwerksystemen, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties (bv. onderzoek naar verspreiding van bestanden met malware of vertraging van systemen door zware bestanden die gedownload worden); en
4. het te goeder trouw naleven van de in het notariskantoor geldende beginselen en regels voor het gebruik van online technologieën (bv. overdreven veel tijd op websites voor niet-professionele doeleinden, zoals nieuwswebsites).

​Controle moet steeds toereikend, relevant en beperkt zijn tot wat strikt noodzakelijk is.

Proportionaliteit

Ook bij controles van elektronische communicatie moet steeds rekening worden gehouden met het proportionaliteitsprincipe. Dit betekent dat een controle steeds toereikend, relevant en beperkt moet zijn tot wat strikt noodzakelijk is om de voormelde doelstellingen te bereiken. Zo mag u medewerkers niet systematisch controleren. Enkel wanneer specifieke omstandigheden dat rechtvaardigen (bv. in geval van een vermoeden van fraude), is controle toegelaten. Verder moet de controle, waar mogelijk, eerst globaal zijn, wat betekent dat de berichten niet direct aan een specifieke medewerker worden gekoppeld. Denk hierbij aan een analyse van statistische gegevens over het aantal uitgaande berichten zonder identificatie van de medewerker die ze heeft gestuurd. Als uit deze algemene controle een vermoeden van onregelmatigheid blijkt, kan u (in principe) overgaan tot het individualiseren van de gegevens om de betrokken medewerker te identificeren. Directe individualisering is evenwel niet toegestaan wanneer de controle gericht is op de naleving van uw intern beleid over het gebruik van online technologieën. In dat geval mag de identiteit van de medewerker pas worden vastgesteld nadat er binnen uw kantoor een algemene waarschuwing is gegeven over het bestaan van de onregelmatigheid, met de mededeling dat individuele controles zullen plaatsvinden als de onregelmatigheid aanhoudt. Het spreekt voor zich dat enkel gegevens die noodzakelijk zijn voor de door de controle nagestreefde doelstelling, geïndividualiseerd mogen worden.

Daarnaast mag u niet zomaar kennisnemen van de inhoud van communicatie, vooral niet wanneer het om privéberichten gaat. De inhoud van privéberichten is doorgaans niet relevant voor de werkgever, terwijl professionele berichten dat wel kunnen zijn. Privéberichten worden slechts relevant voor de werkgever in de mate dat zij de goede uitvoering van de arbeidsovereenkomst of het statuut van de betrokkene in het gedrang brengen (met name in geval van strafbare, onrechtmatige of ongeoorloofde persoonlijke communicatie). Daarom is het noodzakelijk om een onderscheid te maken tussen privéberichten en professionele berichten. Indien medewerkers bedrijfsapparatuur binnen uw notariskantoor ook voor privédoeleinden mogen gebruiken, is het raadzaam alternatieve voorzieningen voor privégebruik te treffen, zoals een privémailadres, een privéluik op de server of privéafspraken in een online agenda. Verder is het aan te bevelen om de inhoud van berichten eerst te controleren op basis van specifieke zoektermen. Dit zorgt voor een eerste filtering. Het is ook raadzaam samen te werken met een vertrouwenspersoon die de geïdentificeerde berichten doorneemt. Zo kan worden gegarandeerd dat u als werkgever enkel toegang krijgt tot de inhoud van berichten die relevant zijn voor het doel van de controle.

Het is in de meeste gevallen raadzaam om de betrokken medewerker, waar mogelijk, actief bij de controle te betrekken. In elk geval mogen er geen ingrijpende beslissingen worden genomen op basis van informatie die uitsluitend via de controle is verkregen. De medewerker moet altijd de gelegenheid krijgen om in een gesprek zijn of haar standpunt toe te lichten en het gebruik van de betreffende middelen te rechtvaardigen.

Tot slot moet worden benadrukt dat preventie steeds prioriteit heeft boven detectie. Denk hierbij aan maatregelen zoals het blokkeren van toegang tot bekende risicovolle websites of elektronische adressen, het instellen van waarschuwingen bij verdachte activiteiten, en vergelijkbare preventieve acties.

Transparantie

Allereerst is het belangrijk dat medewerkers op de hoogte zijn van de regels omtrent het gebruik van de elektronische communicatiesystemen binnen uw kantoor. Mag een medewerker bijvoorbeeld de mailbox voor privédoeleinden gebruiken? Voor welke doeleinden mogen zij het internet gebruiken? Deze en soortgelijke vragen kunnen worden opgenomen in een bredere policy over het gebruik van IT binnen uw kantoor, zodat duidelijk is wat wel en niet toegestaan is.

Daarnaast moet de controle op elektronische communicatie binnen de verwachtingen van uw medewerkers liggen. Naast een privacyverklaring is een helder beleid van groot belang. De doeleinden en modaliteiten van de controle, zoals eerder uiteengezet in (a) en (b), dienen duidelijk omschreven te worden in een interne policy. Dit kan dezelfde policy zijn als de eerdergenoemde policy voor het gebruik van IT binnen uw kantoor. Verder moet informatie worden opgenomen over de plaats en de duur van de bewaartermijn van gegevens in het kader van een controle.

De transparantieverplichting speelt zowel op collectief als op individueel niveau.

Tot slot, indien u de mogelijkheid wilt voorbehouden om disciplinaire sancties op te leggen in geval van niet-naleving van het interne beleid door medewerkers, moeten deze sancties expliciet worden opgenomen in het arbeidsreglement. Hier gelden specifieke regels binnen het arbeidsrecht.

De transparantieverplichting speelt zowel op collectief als op individueel niveau. Binnen notariskantoren zal het voornamelijk van belang zijn om het controlebeleid te verschaffen aan de medewerkers zelf. Zo kunt u bijvoorbeeld een concept van het controlebeleid per e-mail versturen, met een ontvangstbevestiging, waarbij medewerkers worden uitgenodigd om eventuele vragen of opmerkingen te delen. Indien er een overlegorgaan aanwezig zou zijn binnen het notariskantoor, moet het controlebeleid ook aan dit orgaan worden voorgelegd. Nadat het controlebeleid collectief besproken werd, kan dit mee worden opgenomen in de individuele arbeidsovereenkomst, het arbeidsreglement of in het kader van algemene of specifieke instructies met betrekking tot het gebruik van elektronische communicatiesystemen. Weet ook dat het controlebeleid regelmatig geëvalueerd moet worden om na te gaan of de controle aangepast moet worden aan de technologische ontwikkelingen.

Uitdiensttreding

Hoe ga je zorgvuldig om met de mailbox van een medewerker die uit dienst treedt? Mailboxen bevatten vaak cruciale informatie die essentieel is voor de efficiënte werking van een notariskantoor. Tegelijkertijd spelen ook regels in het kader van gegevensbescherming die reeds veelvuldig aanbod kwamen in de beslissingspraktijk van de Gegevensbeschermingsautoriteit. Hieronder worden de relevante regels op een rijtje gezet.

Uiterlijk op het tijdstip van uitdiensttreding moet u de mailbox van de ex-medewerker deactiveren. Bijgevolg kan u zich vanaf dat moment geen toegang meer verschaffen tot de mailbox. Indien de inhoud van (een deel van) de mailbox van een ex-medewerker noodzakelijk is om de goede werking van het notariskantoor te waarborgen, moet u in principe vóór het vertrek van de medewerker en in zijn of haar aanwezigheid een kopie maken van de nuttige e-mails. Het spreekt voor zich dat dit enkel over professionele e-mails kan gaan. Het is bijgevolg aan te raden om medewerkers verplicht te stellen om belangrijke communicatie en documenten tijdig op een gedeelde plek zoals een shared folder te bewaren, zodat deze ook na vertrek toegankelijk blijven. Indien zich een conflictsituatie met de ex-medewerker voordoet en toegang tot diens mailbox alsnog noodzakelijk blijkt, is het raadzaam de tussenkomst van een vertrouwenspersoon te voorzien. Deze regels gelden in principe ook indien de onderneming het gebruik van de mailbox voor persoonlijke doeleinden heeft verboden. Dit principe kent wel uitzonderingen, zoals tijdens een lopende gerechtelijke procedure.

Hoewel directe toegang in principe dus niet meer is toegestaan, kan u wel nog een automatisch bericht instellen voor een redelijke periode. Dit automatisch bericht kan dan aangeven dat de medewerker in kwestie niet langer werkzaam is binnen het notariskantoor, met een verwijzing naar de contactgegevens van de medewerker die wel gecontacteerd kan worden. Inkomende e-mails in de mailbox van de ex-medewerker mogen niet automatisch worden doorgestuurd aan een ander e-mailadres binnen het notariskantoor. Een periode van één maand na de uitdiensttreding wordt door de Belgische Gegevensbeschermingsautoriteit doorgaans als redelijk beschouwd om het automatische antwoord actief te houden. Volgens de Autoriteit kan deze periode uitzonderlijk worden verlengd tot maximaal drie maanden. Een dergelijke verlenging moet zorgvuldig worden gemotiveerd. Een voorbeeld van een uitzonderlijk geval waarin de Autoriteit oordeelde dat een verlenging gepast was, betreft een medewerker met een gecombineerde functie, zoals ceo, Senior Director Marketing en gedelegeerd bestuurder. Een verlenging gebeurt bij voorkeur in onderling overleg met de ex-medewerker (of minstens nadat de ex-medewerker op de hoogte is gesteld van deze verlenging).

Wat betreft de rechtsgrond onder de GDPR, kan het beperkt actief houden van de mailbox (door het instellen van dergelijk automatisch bericht) gestoeld worden op het gerechtvaardigd belang van het notariskantoor om de continuïteit van de prestaties te verzekeren. Na deze ‘redelijke’ periode moeten het e-mailadres en de mailbox definitief worden verwijderd.

​Inkomende e-mails in de mailbox van de ex-medewerker mogen niet automatisch worden doorgestuurd aan een ander e-mailadres binnen het notariskantoor.

Tijdelijke afwezigheid

Hoe zit het dan met de mailbox van een medewerker die tijdelijk afwezig is? Ook dan moet de toegang tot de mailbox geregeld worden. Indien een medewerker gepland afwezig is (bv. wegens vakantie), is het aan te raden om de betrokken medewerker zelf een ‘out-of-office’-bericht te laten instellen met de vermelding van de contactgegevens van een collega die in de plaats gecontacteerd kan worden, alsook de melding dat de e-mail van de afzender niet zal worden doorgestuurd. Het is bijkomend aan te raden om enkel bij dringende noodzaak toegang te verschaffen tot de mailbox van de betrokken medewerker zonder te wachten op diens terugkeer. Dit moet ook steeds gebeuren met tussenkomst van een vooraf aangeduide vertrouwenspersoon.

Indien de medewerker daarentegen onverwacht afwezig is (bv. wegens ziekte), kan u zelf een ‘out-of-office’-bericht instellen namens de medewerker. In dit geval zal het wellicht ook sneller gerechtvaardigd zijn om voor de duur van de afwezigheid toegang te krijgen tot de elektronische communicatiesystemen van de medewerker om de goede werking van het notariskantoor te garanderen. Werk in dat geval steeds via de tussenkomst van een vertrouwenspersoon.

Ook hier moet u inmenging in privéberichten van uw medewerkers vermijden. Vandaar het belang om indien privégebruik is toegelaten, alternatieve voorzieningen voor dergelijk privégebruik te voorzien (zie hierboven).

​Anouk Focquet, advocaat-vennoot bij Faros
Julie Mannekens, researcher aan de KU Leuven