Gert Lambers - 26 nov 2020

Binnen heel wat bedrijven heerst er onduidelijkheid over het behoud van en de toegang tot de e-mailaccounts van werknemers die er niet meer werkzaam zijn. Een goede offboarding procedure is nochtans zeer belangrijk om toekomstige problemen - en zelfs mogelijke boetes - te vermijden. Het behouden van e-mailadressen en e-mailaccounts van werknemers die niet meer actief zijn in uw onderneming is immers een inbreuk op de GDPR of General Data Protection Regulation.

In dit artikel gaan we dieper in op het belang van een goede offboarding wat IT betreft. Dit doen we aan de hand van een case waarover de Gegevensbeschermingsautoriteit (of GBA) recentelijk oordeelde.

Betwisting inzake offboarding

Recent ontfermde de GBA zich over een zaak omtrent het niet afsluiten van de professionele e-mailadressen en e-mailaccounts na vertrek van een werknemer. Het gaat om een gewezen gedelegeerd bestuurder van een kmo in de medische sector, die een verzoek tot bemiddeling indiende bij GBA. De reden voor het verzoek was dat het bedrijf niet reageerde op zijn verzoek om alle e-mailadressen en accounts met betrekking tot hem, zijn echtgenote, broer en vader binnen de 7 dagen na zijn vertrek af te sluiten.

De bemiddeling ontaardde in een officiële klacht waarop de GBA na grondige inspectie besliste om de kmo een administratieve boete op te leggen van € 15.000. Als reden voor de boete gaf de Gegevensbeschermingsautoriteit mee dat het een duidelijke inbreuk was op de principes van de GDPR. De e-mailadressen waren immers 2,5 jaar na vertrek nog steeds actief, en dit zonder dat de ontvangers van de e-mails op de hoogte waren dat de afzenders niet langer werkzaam waren in het bedrijf. Dit kon aanleiding geven tot het verzamelen en potentieel gebruiken van persoonlijke gegevens, zonder het medeweten van de bestemmelingen.

Offboarding en e-mail, waar houdt u best rekening mee?

Naar aanleiding van bovenstaande case gaf het GBA enkele richtlijnen mee voor werkgevers. Door het opvolgen van deze richtlijnen voldoen bedrijven aan belangrijke principes en regels omtrent rechtmatigheid, minimale gegevensverwerking, opslagbeperking, enzovoort. We sommen ze even kort voor u op:

  • De IT-verantwoordelijke dient ten laatste op het moment van het effectief vertrek het e-mailadres en de e-mailaccounts van de ex-werknemer te blokkeren.
  • De betreffende ex-werknemer dient daarvan op de hoogte gesteld te worden.
  • Er dient een automatisch bericht ingesteld en verstuurd te worden waarin de geadresseerde op de hoogte gebracht wordt van het vertrek van de betreffende werknemer.
  • Na een termijn van ongeveer 1 maand, moet de mailbox van de ex-werknemer en bijhorend automatisch bericht verwijderd worden. Een langere termijn kan voorzien worden, maar idealiter niet langer dan 3 maanden. Een dergelijke verlenging, om bijvoorbeeld de continuïteit van een goede bedrijfswerking te kunnen garanderen, dient gemotiveerd te worden en meegedeeld te worden aan de ex-werknemer.
  • Om te vermijden dat het bedrijf nog toegang heeft tot de e-mailaccount van de ex-werknemer na zijn vertrek, dienen e-mails die van cruciaal belang zijn om de goede werking van de onderneming te verzekeren, te worden gerecupereerd vóór het vertrek de betreffende persoon en in diens aanwezigheid.

Waarom een goede offboarding procedure belangrijk is

Bovenstaande case is een mooi voorbeeld van hoe het niet moet. Een correcte offboarding procedure is immers niet alleen belangrijk voor het strikt opvolgen van GDPR (het verzamelen en potentieel gebruiken van persoonlijke gegevens zonder het medeweten van de bestemmelingen), maar beschermt ook uw gevoelige bedrijfsdata. Wanneer een werknemer uit dienst gaat, is het cruciaal om deze de toegang tot alle systemen, van e-mailaccounts tot VPN en cloudoplossingen, te ontzeggen. Zo vermijdt u dat deze persoon aan de haal gaat met gevoelige en belangrijke bedrijfsinformatie of klantgegevens. Een goede offboarding policy zorgt met andere woorden voor het beschermen tegen een data breach, veroorzaakt door een ex-werknemer.

Daarnaast is het essentieel dat u het e-mailadres en bijhorende e-mailaccounts van een uit dienst tredende werknemer op een correcte manier afsluit. Het gebruik van een automatische reply met de melding dat de betreffende persoon niet meer in uw bedrijf werkzaam is, is aangewezen. Dit combineert u best met een automatische reply van de e-mail naar de verantwoordelijke persoon die de zaken zal opvolgen. Zo verliest u geen belangrijke deadlines of lopende klantenzaken uit het oog en het bevordert de continuïteit binnen uw onderneming.
 

Een goede offboarding procedure is niet alleen belangrijk voor het correct naleven van de officiële regelgevingen, maar kan u ook een hoop problemen besparen. Wenst u meer te weten over hoe u een goede offboarding procedure op poten zet? Of bent u op zoek naar een IT-partner die u kan helpen met het opzetten van de juiste IT-policy? Neem dan snel contact op met ons! Onze IT-managers adviseren u met veel plezier.

Contact opnemen