Volgens de Europese Algemene Verordening Gegevensbescherming (GDPR) mogen persoonsgegevens niet langer worden bewaard dan nodig is. Hetzelfde geldt voor de e-mailboxen van voormalige werknemers.
De Gegevensbeschermingsautoriteit (GBA) heeft over dit onderwerp een aantal uitspraken gedaan waaruit het volgende kan worden afgeleid:
- De mailbox moet uiterlijk op de dag wanneer de betrokken werknemer daadwerkelijk vertrekt worden geblokkeerd;
- De werknemer moet hiervan op de hoogte worden gebracht;
- De werknemer moet de gelegenheid hebben gehad om privéberichten te “sorteren” en over te brengen naar zijn/haar persoonlijke mailbox. In geval van een geschil, is de tussenkomst van een “vertrouwenspersoon” aanbevolen;
- Er moet een automatische boodschap worden opgenomen waarin de afzender wordt meegedeeld dat de betrokken persoon niet langer voor de organisatie werkt en waarin de contactgegevens worden vermeld van de persoon (of het algemene e-mailadres) met wie nu contact moet worden opgenomen, en dit gedurende een “redelijke” periode (a priori 1 maand). Een langere termijn is mogelijk (in principe ongeveer 3 maanden), afhankelijk van de omstandigheden en de verantwoordelijkheden van de betrokkene, maar in dat geval moet de betrokkene op zijn minst worden geïnformeerd;
- Het automatisch doorsturen van e-mails naar een ander e-mailadres binnen de organisatie moet worden vermeden, aangezien er in dergelijk geval geen controle is over de inkomende e-mails. Zo zou bijvoorbeeld privé- en potentieel gevoelige informatie kunnen worden vrijgegeven zonder dat de voormalige werknemer én de correspondent daarvan op de hoogte is;
- Al deze modaliteiten moeten worden opgenomen in een IT-policy of in een gelijkaardig document.
Tot slot moet benadrukt worden dat deze richtlijnen niet louter theoretisch zijn. De GBA heeft al verschillende boetes opgelegd aan organisaties die zich niet aan de regels hebben gehouden.