Werkgevers moeten rekening houden met de privacy van werknemers. Maar wat als een werkgever in de zakelijke e-mail van een medewerker wil kijken. Moet deze hem dan ook om toestemming vragen?

Deze vraag stond centraal in een recente zaak bij het Gerechtshof ’s-Hertogenbosch op 28 december 2021 (ECLI: NL:GHSHE:2021:3862)

Wat is er gebeurd?
Een werkneemster is sinds 1 februari 2015 in dienst bij de werkgever als Legal Counsel Europe. Begin 2017 rezen bij de werkgever bedenkingen over het goed functioneren van de werkneemster. Op 8 juni 2017 hebben partijen een vaststellingsovereenkomst gesloten waarmee de werkneemster per 1 september 2017 uit dienst gaat. Op 8 of 9 juni 2017 heeft de werkgever zonder toestemming van de werkneemster in haar zakelijke e-mailbox gekeken. Daaruit is gebleken dat de werkneemster op 30 mei en 6 juni 2017 een aantal bedrijfsgegevens naar haar persoonlijke e-mailadres heeft verzonden. Zij biedt daarvoor haar verontschuldiging aan en verklaart de betreffende gegevens verwijderd te hebben. Wel start zij een procedure tegen de werkgever waarin zij onder andere een schadevergoeding vordert wegens schending van haar privacy. De kantonrechter heeft de vorderingen afgewezen. Ze gaat in hoger beroep.

Controle e-mailberichten
Het Hof stelt vast dat de e-mailberichten vallen onder de persoonlijke levenssfeer (art. 8 EVRM). Ook wanneer de berichten zijn verstuurd vanaf de zakelijke werkplek. Controle van de e-mailberichten door de werkgever kan als de werknemer hiervan weet, bijvoorbeeld doordat het in het personeelsreglement of de arbeidsovereenkomst is vastgelegd. Het is ook toelaatbaar als sprake is van een gerechtvaardigd doel om die controle toe te passen en is voldaan aan de proportionaliteitseis. In dit geval is daar niet aan voldaan. Uit niets blijkt dat de werkgever een vermoeden had dat de werkneemster in strijd handelde met regels uit een interne IT-gedragscode. Dat wordt ook niet door de werkgever aangevoerd. Verder is het vreemd dat de werkgever niet gewoon aan de werkneemster heeft gevraagd of zij de zakelijke e-mail mocht inzien vanwege de door haar aangevoerde omstandigheden: een volledig beeld krijgen van de dossiers die de werkneemster in behandeling had. De werkgever heeft daarom inbreuk gemaakt op de privacy van de werkneemster. Overigens speelde deze zaak vóór de invoering van de AVG en viel deze dus onder de oude Wet bescherming persoonsgegevens (Wbp).

Gezondheidsgegevens
Daarnaast stelt werkneemster dat de werkgever ook haar privacy heeft geschonden door in haar verzuimregistratiesysteem een e-mail van haar op te nemen waarin stond: ‘Beste HR e.a., Ik heb kort verzuim opgenomen ivm afspraak dokter. Mvg.’ Door deze e-mail op te nemen heeft de werkgever ten onrechte gezondheidsgegevens verwerkt in de zin van artikel 16 Wbp. Het Hof oordeelt dat er geen sprake is van schending van artikel 16 Wbp. Het bericht is opgenomen in een verzuimadministratie en de reden voor het verzuim, een bezoek aan de dokter, is opgegeven door de werknemer zelf. Het gaat hierbij niet om de verwerking van persoonsgegevens gericht op de gezondheidstoestand van betrokkene. Daar staat namelijk niets over in de e-mail, vindt het Hof.

Schadevergoeding
Nu het Hof heeft vastgesteld dat de werkgever de privacy van de werkneemster geschonden heeft, rijst de vraag of zij ook recht heeft op schadevergoeding. In dit geval op grond van artikel 49 Wbp. Het Hof stelt vast dat niet is gebleken dat de werkneemster daadwerkelijk schade heeft opgelopen door de inbreuk. En het voert te ver om een – al dan niet symbolisch – bedrag toe te kennen. Voor het toekennen van vergoeding van immateriële schade moet op z’n minst aannemelijk worden gemaakt dat iemand op een andere manier last heeft gehad van de privacyschending. Bijvoorbeeld aantasting van de persoonlijke levenssfeer of geestelijk letsel. Dat is niet gebeurd. De gevorderde schadevergoeding wordt dan ook afgewezen.

Gevolgen voor de praktijk
Betekent deze uitspraak dat een werkgever altijd toestemming moet vragen aan een werknemer om diens zakelijke e-mail te bekijken? Nou nee, de werkgever kan in het personeelshandboek of de arbeidsovereenkomst vastleggen dat de zakelijke e-mail bekeken kan worden. Als de werkgever daarnaast vastlegt dat zakelijke e-mail alleen voor zakelijke doeleinden gebruikt mag worden en niet voor privédoeleinden, dan neemt de mogelijkheid van de werkgever nog verder toe. In alle gevallen moet de werkgever wel een legitieme reden hebben. Bijvoorbeeld om de continuïteit van de werkzaamheden te kunnen waarborgen. Deze uitspraak laat zien dat de mogelijkheden om e-mail in te zien lastiger zijn als een werkgever geen duidelijk internet- en e-mailbeleid (ook wel IT-beleid) heeft. En de gezondheidsgegevens in het verzuimsysteem dan? Naar mijn mening is de overweging van het Hof dat de e-mail geen gezondheidsgegevens bevat niet geheel juist. Ook de vermelding dat er een bezoek aan een arts wordt afgelegd is een gezondheidsgegeven. Doordat (de advocaat van) de werkneemster dat kennelijk niet had onderbouwd, kon het Hof daar vrij eenvoudig aan voorbijgaan. Juridisch misschien geen zuivere redenering maar de uitkomst kan ik wel begrijpen.