Als ICT-leverancier krijg je regelmatig het verzoek om de mailbox van een vertrekkende directeur te exporteren en over te dragen aan het bedrijf. Dit lijkt misschien een standaardverzoek, maar juridisch en privacytechnisch is het niet zo eenvoudig als het lijkt. Een mailbox bevat vaak niet alleen zakelijke informatie, maar kan ook persoonsgegevens, vertrouwelijke communicatie en zelfs privéberichten bevatten. Het verkeerd omgaan met deze gegevens kan juridische gevolgen hebben.
De juridische positie van de ICT-leverancier
Een ICT-leverancier treedt op als verwerker van persoonsgegevens en handelt in opdracht van de klant, die in dit geval de verwerkingsverantwoordelijke is. Dat betekent dat je als leverancier niet zelfstandig mag besluiten over het exporteren of overdragen van data. Je mag uitsluitend handelen op basis van duidelijke, schriftelijke instructies van de klant en alleen binnen de kaders van de wet.
De Algemene Verordening Gegevensbescherming (AVG) stelt strikte eisen aan de verwerking van persoonsgegevens. Het bedrijf waarvoor je werkt, mag niet zomaar volledige toegang krijgen tot een mailbox zonder dit zorgvuldig te onderbouwen. De oud-directeur heeft nog steeds privacyrechten, zelfs over zakelijke e-mails. Daarnaast kunnen er in de mailbox berichten zitten met vertrouwelijke of gevoelige informatie, zoals correspondentie met advocaten of persoonlijke gesprekken die niets met de bedrijfsvoering te maken hebben.
Controleer de juridische grondslag
Voordat je als ICT-leverancier een mailbox exporteert of overdraagt, is het verstandig om de klant te vragen naar de juridische grondslag hiervoor. De werkgever moet kunnen aantonen dat er een geldige reden is om toegang te krijgen tot de mailbox. Dit kan bijvoorbeeld voortkomen uit afspraken in de arbeidsovereenkomst of een managementovereenkomst, waarin staat dat zakelijke communicatie na uitdiensttreding van de directeur beschikbaar moet blijven voor het bedrijf.
Als er geen duidelijke juridische basis is, loop je als ICT-leverancier het risico betrokken te raken bij een privacyschending. Vraag de klant daarom expliciet of en hoe dit is geregeld in contractuele afspraken met de oud-directeur. Indien nodig kan de klant juridisch advies inwinnen voordat jij overgaat tot export of overdracht.
Wat mag je als ICT-leverancier wel doen?
Een mailbox mag alleen worden geëxporteerd als daar een duidelijke, schriftelijke instructie van de klant voor is en er een geldige juridische grondslag bestaat. In sommige gevallen is het verstandig om de mailbox niet volledig over te dragen, maar eerst te filteren op relevantie. Dit kan bijvoorbeeld door alleen e-mails die gerelateerd zijn aan lopende zakelijke zaken te selecteren en andere gegevens niet over te dragen.
Daarnaast is het belangrijk om afspraken te maken over bewaartermijnen. Hoe lang blijft de mailbox beschikbaar? Wordt deze tijdelijk gearchiveerd of direct verwijderd? Dit zijn vragen die je vooraf met de klant moet bespreken en vastleggen in een verwerkersovereenkomst.
Wat mag je niet doen?
Een ICT-leverancier mag nooit op eigen initiatief een mailbox exporteren of overdragen. Ook als een bedrijf hierom vraagt, moet je erop letten dat dit gebeurt volgens de juiste procedures. Het overdragen van een volledige mailbox zonder voorafgaand overleg of zonder dat de klant duidelijk heeft gemaakt hoe de gegevens gebruikt zullen worden, kan leiden tot een schending van de privacywetgeving.
Daarnaast mag je als ICT-leverancier niet zonder extra afspraken persoonsgegevens overdragen naar servers buiten de EU, tenzij hiervoor passende maatregelen zijn getroffen, zoals standaardcontractbepalingen of een adequaatheidsbesluit.
Hoe voorkom je problemen?
Het is verstandig om als ICT-leverancier proactief beleid op te stellen over hoe om te gaan met mailboxen van vertrekkende medewerkers. Zorg ervoor dat klanten begrijpen dat zij zelf verantwoordelijk zijn voor de juridische basis van een export en dat jij als leverancier slechts ondersteunt bij de uitvoering.
Maak daarnaast in de verwerkersovereenkomst duidelijke afspraken over de manier waarop gegevens worden verwerkt en wat de rolverdeling is bij het exporteren en overdragen van mailboxen. Door hier vooraf helder over te zijn, voorkom je dat je als ICT-leverancier in een situatie belandt waarin je onbedoeld de privacyregels schendt of aansprakelijk wordt gesteld.
Conclusie
Hoewel het verzoek om een mailbox te exporteren vaak als een simpele IT-taak wordt gezien, zijn de juridische en privacytechnische implicaties groot. Als ICT-leverancier is het cruciaal om zorgvuldig te handelen en je rol als verwerker goed te begrijpen. Handel altijd volgens de instructies van de klant, zorg voor een duidelijke juridische basis en wees alert op de privacyrisico’s. Vraag bovendien aan de klant of er een juridische grondslag is vastgelegd in een arbeidsovereenkomst of managementovereenkomst voordat je een mailbox overdraagt. Daarmee voorkom je niet alleen juridische problemen, maar bied je ook een professionele en betrouwbare dienstverlening.