Een werkgever, een dienstverlener op het gebied van tankinstallaties en tankstations, wordt geconfronteerd met tal van klachten over een van zijn werknemers. Diverse collega’s willen niet meer met hem werken en ook bij bepaalde klanten is hij niet meer welkom. De werkgever stapt daarom naar de kantonrechter met het verzoek om de arbeidsovereenkomst te laten ontbinden. De werkgever heeft na de diverse klachten de zakelijke mailbox van de werknemer onderzocht. En daar ontvouwt zich ‘Dieselgate’: uit de aangetroffen e-mails zou blijken dat de werknemer in een tank achtergebleven diesel heeft verkocht en de opbrengst in eigen zak heeft gestoken. De werknemer stelt echter dat hij dit in opdracht van de werkgever heeft gedaan en het geld in een algemeen potje voor leuke uitjes heeft gestopt. Uit andere e-mails zou daarnaast blijken dat de werknemer een relatie met een ondergeschikte heeft gehad, zonder dit te melden aan de werkgever. Privacyrechtelijk is interessant of de werkgever überhaupt onderzoek had mogen doen in de mailbox. De rechtbank meent van niet: het feit dat er zonder concrete verdenking, zonder vooraankondiging of toestemming een onderzoek is gedaan, levert een schending van art. 8 EVRM op. Er wordt daarom een immateriële schadevergoeding van maar liefst 10.000 euro toegekend. (ECLI:NL:RBAMS:2020:3452).
Wat jammer is, is dat in de uitspraak met geen enkel woord wordt gerept over de Algemene Verordening Gegevensverwerking (AVG), terwijl er bij het doorzoeken van de mailbox sprake is van een verwerking van persoonsgegevens. Er wordt wel gesproken over het gebrek aan een ‘rechtvaardigingsgrond’. Art. 6 AVG biedt zes limitatief opgesomde grondslagen (dus mogelijke rechtvaardigingsgronden) om persoonsgegevens te mogen verwerken. Toestemming is een van die gronden, maar toestemming moet aan bepaalde eisen voldoen. Een van die eisen is dat deze ‘vrij’ moet worden gegeven. Dit is bijna nooit mogelijk in een werkgevers-werknemersrelatie. Voorafgaande toestemming van de werknemer had in deze zaak dan ook geen uitkomst geboden. Werkgevers onderzoeken vaker de mailboxen van werknemers, maar doen dit dan op basis van de grondslag van het ‘gerechtvaardigd belang’: het belang van de werkgever om bijvoorbeeld misstanden te onderzoeken. Hierbij moet de werkgever rekening houden met de inbreuk die hij daarbij maakt op de privacy van de werknemer. Belangrijk daarbij is dat de werkgever een goed en kenbaar beleid heeft waarin duidelijk uiteen wordt gezet wanneer dergelijke onderzoeken plaatsvinden en bovendien een zogenaamde Data Protection Impact Assessment (DPIA) heeft uitgevoerd. Ook moeten de beginselen van proportionaliteit en subsidiariteit in acht worden genomen. Oftewel: steeds kijken of het wel echt nodig is om de mailbox te onderzoeken, niet zomaar lukraak alle mails lezen en privémails buiten beschouwing laten.
Wellicht dat de (advocaat van) de werknemer bewust de AVG niet heeft aangevoerd: de onderbouwing van de schade vormt vaak een struikelblok (zie hierover ook mijn Snelrecht-bijdrage van april van dit jaar) en een schadevergoeding van 10.000 euro is dan ook ongekend. Ik hoop stiekem op een hoger beroep mét aandacht voor de AVG!
