Belgisch techbedrijf krijgt boete voor niet tijdig verwijderen mailbox ex-medewerkster

In dit artikel:

Een groot Belgisch techbedrijf kreeg van de Gegevensbeschermingsautoriteit (GBA) een boete van in totaal €176.000 omdat het de zakelijke mailbox van een ex-medewerkster te lang actief hield. De vrouw ontdekte een half jaar na haar vertrek dat haar oude e‑mail nog bestond en vroeg om inzage en verwijdering; de functionaris voor gegevensbescherming van het bedrijf bevestigde diezelfde dag dat het adres nog actief was. Het bedrijf rechtvaardigde het langer bewaren met het argument dat het vanwege haar functie handig was om out‑of‑office‑meldingen en contacten door te sturen. Een jaar na haar vertrek diende zij een klacht in bij de GBA, omdat de mailbox nog steeds niet gesloten was.

De toezichthouder oordeelt dat het bedrijf persoonsgegevens onrechtmatig verwerkte: een gerechtvaardigd belang om een mailbox kort (ongeveer één maand) te bewaren om overdracht van contacten mogelijk te maken vervalt niet zo lang als een jaar. Bovendien werd de informatieplicht geschonden — de voormalige medewerker en haar contactpersonen wisten niet dat hun gegevens werden verwerkt — en werden onvoldoende technische en organisatorische maatregelen genomen. Ook het recht op inzage werd niet gerespecteerd. De boete is opgesplitst in €160.000 voor onrechtmatige verwerking en €16.000 voor het niet naleven van transparantieverplichtingen.

(Algemene context: onder de AVG/GDPR moeten werkgevers accounts van vertrokken medewerkers tijdig wissen en duidelijk informeren over gegevensverwerking.)