Je mailbox is geen archief

Een medewerker vertrekt. De laptop wordt ingeleverd, de badge gedeactiveerd en het account geblokkeerd. Maar de mailbox? Die blijft in veel ondernemingen gewoon bestaan. Maanden later lezen managers nog mee in historische mails, beantwoorden collega’s verder berichten in naam van de ex-medewerker en wordt de inbox behandeld alsof die integraal eigendom van het bedrijf zou zijn.

Veel organisaties stellen zich daarbij nauwelijks de vraag of dat juridisch eigenlijk wel mag. De reflex is meestal dezelfde: het gaat toch om een werkmailbox? De Gegevensbeschermingsautoriteit denkt daar duidelijk anders over. En precies daarom groeit mailboxbeheer bij offboarding stilaan uit van een praktisch IT-detail tot een volwaardig GDPR-risico.

Een professionele mailbox bevat persoonsgegevens – en dus geldt GDPR

Een professionele mailbox is uiteraard een werkinstrument. Zij wordt ter beschikking gesteld door de werkgever, gebruikt in het kader van professionele activiteiten en bevat vaak belangrijke bedrijfsinformatie. Precies daarom blijven veel ondernemingen ervan uitgaan dat de mailbox integraal tot het bedrijf behoort.

Juridisch klopt dat echter niet.

Een mailbox bevat immers vrijwel altijd persoonsgegevens van de betrokken medewerker zelf. Alleen al het e-mailadres verwijst meestal rechtstreeks naar een identificeerbare persoon. Daarnaast bevat een mailbox communicatiegeschiedenis, contactgegevens, metadata, interne gesprekken, afspraken en vaak ook persoonlijke of semi-persoonlijke communicatie. Bovendien bevat zij eveneens persoonsgegevens van derden, zoals klanten, leveranciers, sollicitanten en andere correspondenten.

De GBA benadrukt in beslissing 101/2026 expliciet dat een professionele mailbox ontegensprekelijk persoonsgegevens bevat in de zin van de GDPR.

Dat principe staat juridisch ondertussen al jaren vast. Ook het Europees Hof voor de Rechten van de Mens heeft reeds lang bevestigd dat werknemers hun recht op privacy niet verliezen zodra zij de werkvloer betreden. In de bekende Barbulescu-rechtspraak stelde het Hof expliciet dat “respect for private life and for the privacy of correspondence continues to exist” op de werkplek.

Dat betekent uiteraard niet dat een werkgever nooit toegang kan hebben tot professionele communicatie. Een onderneming moet haar communicatie kunnen organiseren, opvolgen en beveiligen in functie van haar activiteiten. Maar dergelijke verwerking blijft onderworpen aan de gewone principes van de GDPR: er moet een rechtsgrond bestaan, de verwerking moet proportioneel zijn, er moet transparantie zijn en gegevens mogen niet langer worden bewaard dan noodzakelijk.

Toch blijven veel organisaties mailboxen behandelen alsof het puur technische IT-assets zijn. Dat heeft deels historische oorzaken. Jarenlang werd een werkmailbox beschouwd als een onderdeel van de bedrijfsinfrastructuur, vergelijkbaar met een telefoonnummer of een bureaustoel.

Daarnaast zijn veel ondernemingen operationeel afhankelijk geworden van mailboxen. Cruciale informatie bevindt zich vaak verspreid over individuele inboxen in plaats van in centrale systemen. Contacthistorieken, contractonderhandelingen, commerciële afspraken en operationele kennis zitten in de praktijk niet zelden in persoonlijke mailboxen.

En precies daar begint het juridische probleem wanneer een medewerker vertrekt.

Offboarding bestaat juridisch uit verschillende fases

Tijdens de samenwerking

Tijdens de actieve samenwerking is de juridische situatie rond een professionele mailbox relatief duidelijk. De mailbox wordt gebruikt in functie van de uitvoering van de arbeidsovereenkomst of samenwerkingsovereenkomst. Zij dient voor communicatie met klanten, leveranciers, collega’s en andere professionele contacten. De verwerking van persoonsgegevens in dat kader kan doorgaans gesteund worden op de noodzaak voor de uitvoering van de overeenkomst en, afhankelijk van de context, ook op gerechtvaardigde belangen van de onderneming zoals beveiliging, continuïteit en organisatie van communicatie.

Toch betekent dat niet dat een professionele mailbox daardoor volledig buiten de privésfeer van de betrokken medewerker valt. In de praktijk lopen professionele en persoonlijke communicatie immers vaak door elkaar. Werknemers ontvangen medische afspraken op hun werkmail, sturen snel een praktisch bericht naar huis, gebruiken hun professioneel adres voor reservaties of ontvangen communicatie van scholen, kinderopvang of leveranciers.

Veel ondernemingen proberen dat te beperken via interne policies die privégebruik verbieden of strikt reguleren. Zulke policies zijn juridisch zeker relevant. Zij helpen verwachtingen afbakenen, ondersteunen controles en spelen mee in de beoordeling van wat een werknemer redelijkerwijze aan privacy mocht verwachten.

Maar een policy verandert de feitelijke realiteit niet volledig. Zelfs in ondernemingen met een strikt verbod blijft een zekere mate van persoonlijk gebruik vaak bestaan. Rechtspraak en toezichthouders lijken daarom vooral naar de concrete praktijk te kijken, niet alleen naar wat formeel op papier staat. En precies daardoor blijft een mailbox juridisch fundamenteel anders dan bijvoorbeeld een gedeelde databank of een klassiek archiefsysteem.

Een mailbox bevat immers niet alleen bedrijfsinformatie, maar ook communicatie van en met natuurlijke personen, gekoppeld aan een individueel identificeerbare medewerker. Dat verklaart meteen waarom de juridische beoordeling volledig verandert zodra die medewerker het bedrijf verlaat.

Meteen na het vertrek

Zodra de medewerker het bedrijf verlaat, verandert de juridische situatie fundamenteel. Tijdens de samenwerking diende de mailbox voor professionele communicatie in het kader van de uitvoering van de arbeidsovereenkomst of samenwerkingsovereenkomst. De verwerking van persoonsgegevens kon in dat stadium dus in belangrijke mate gesteund worden op de noodzaak voor de uitvoering van die overeenkomst.

Op het ogenblik dat de samenwerking eindigt, valt die rechtsgrond echter weg. De mailbox dient dan niet langer voor de normale professionele communicatie van de betrokken medewerker. En precies daarom verschuift ook het doel van de verwerking.

De GBA lijkt daarbij ruimte te laten voor één zeer specifieke overgangssituatie: een tijdelijke out-of-office boodschap die externe contacten informeert dat de medewerker niet langer bereikbaar is via dat adres en hen doorverwijst naar een alternatief contactpunt binnen de organisatie.

Dat is een belangrijk juridisch onderscheid. Het doel van de verwerking bestaat op dat moment niet langer uit het voeren van professionele communicatie namens de medewerker, maar uit transparantie tegenover derden en het verzekeren van een beperkte communicatiecontinuïteit voor de onderneming. De rechtsgrond verschuift daardoor eveneens: niet langer uitvoering van de overeenkomst, maar een gerechtvaardigd belang van de onderneming.

En precies daarom benadrukt de GBA dat die situatie noodzakelijk tijdelijk moet blijven. Het gaat niet om een algemene toestemming om mailboxen actief te houden omdat managers nog toegang willen behouden tot historische communicatie of “voor het geval dat” nog nuttige informatie in de inbox zou zitten.

Zodra de mailbox verder gebruikt wordt voor bredere doeleinden dan louter transparantie en beperkte communicatiecontinuïteit, verandert opnieuw de volledige juridische beoordeling. En precies daar loopt het in de praktijk vaak mis.

Definitieve afsluiting van de mailbox

Na de korte overgangsperiode verdwijnt ook het tijdelijke doel dat de verdere instandhouding van de mailbox nog kon rechtvaardigen. Externe contacten hebben intussen kunnen vernemen dat de medewerker het bedrijf verlaten heeft en werden doorverwezen naar een alternatief aanspreekpunt. Daarmee valt ook het gerechtvaardigd belang weg waarop de tijdelijke verwerking nog gesteund kon worden.

In principe komt men dan terecht in de eindfase van de levenscyclus van de mailbox: afsluiting en verwijdering. En precies daar ontstaat in de praktijk vaak verwarring. Veel ondernemingen bekijken een mailbox nog altijd uitsluitend vanuit haar communicatiefunctie. Zodra geen nieuwe mails meer kunnen worden verzonden of ontvangen, gaat men er vaak vanuit dat het probleem opgelost is.

Maar juridisch ligt dat fundamenteel anders.

Onder de GDPR vormt niet alleen het verzenden of ontvangen van communicatie een verwerking van persoonsgegevens. Ook het bewaren, archiveren, toegankelijk houden, doorzoeken en consulteren van mailboxinhoud zijn afzonderlijke verwerkingen. Zelfs wanneer een mailbox technisch gedeactiveerd werd en geen nieuwe communicatie meer verwerkt, blijft dus nog steeds verwerking plaatsvinden zodra de historische inhoud bewaard en intern consulteerbaar blijft.

En precies op dat punt hanteert de GBA al jaren een bijzonder duidelijke lijn. De toezichthouder benadrukt consequent dat het beperken van toegang niet hetzelfde is als verwijderen. Een mailbox die operationeel afgesloten werd maar waarvan de inhoud maanden of jaren raadpleegbaar blijft binnen de organisatie, blijft persoonsgegevens verwerken.

Dat botst vaak met de operationele reflex van ondernemingen. Managers willen nog “voor alle zekerheid” toegang behouden tot oude communicatie, historische klantendossiers kunnen raadplegen of later nog informatie kunnen opzoeken in de inbox. Maar precies vanaf dat ogenblik wordt het juridisch bijzonder moeilijk om nog een voldoende duidelijke rechtsgrond en een voldoende afgebakend doel voor die verdere bewaring en consulteerbaarheid aan te tonen.

Het out-of-office mechanisme

Waarom moet die out-of-office nu eigenlijk?

Veel ondernemingen beschouwen een out-of-office boodschap als een puur praktisch detail. Juridisch vervult zo’n boodschap echter een belangrijke functie.

Een OOO-mechanisme heeft in essentie één doel: derden informeren dat de betrokken medewerker niet langer bereikbaar is via dat adres en hen doorverwijzen naar een alternatief contactpunt. Dat sluit ook aan bij het transparantiebeginsel van de GDPR.

Externe correspondenten moeten immers weten wat er gebeurt met hun communicatie. Wanneer iemand maandenlang blijft mailen naar een voormalige medewerker zonder te weten dat die persoon het bedrijf verlaten heeft, ontstaat een problematische situatie. De verzender gaat er dan immers vanuit dat hij nog steeds communiceert met dezelfde persoon, terwijl de realiteit volledig anders kan zijn.

De GBA hanteert een duidelijke lijn

De GBA hanteert al jaren een vrij duidelijke lijn waarbij een tijdelijke en transparante out-of-office boodschap beschouwd wordt als de aangewezen oplossing tijdens de korte overgangsperiode na het vertrek van een medewerker. Daarbij moet de boodschap duidelijk maken dat de betrokken persoon niet langer bereikbaar is via dat adres en moet zij de verzender doorverwijzen naar een alternatief contactpunt binnen de organisatie. Kort wil zeggen 1 maand, in bijzondere (te motiveren) omstandigheden eventueel 3 maanden.

Dat lijkt op het eerste gezicht een louter praktische maatregel, maar juridisch vervult zo’n boodschap een bijzonder belangrijke functie. Zij moet immers vermijden dat derden blijven geloven dat zij nog steeds communiceren met dezelfde medewerker, terwijl de mailbox in werkelijkheid niet langer door die persoon wordt opgevolgd.

Daarom zijn veel klassieke automatische antwoorden juridisch problematischer dan ondernemingen vaak beseffen. Formuleringen zoals “ik ben momenteel afwezig” of “ik heb tijdelijk geen toegang tot mijn mailbox” creëren in werkelijkheid een fictie waarbij de verzender denkt dat de medewerker nog steeds actief is en de communicatie later opnieuw zal opnemen.

En precies daar speelt ook de verantwoordelijkheid van de onderneming als verwerkingsverantwoordelijke een belangrijke rol. Het bedrijf blijft verantwoordelijk voor de verdere verwerking van persoonsgegevens via die mailbox en heeft er dus alle belang bij om de inhoud en werking van zulke out-of-office boodschappen centraal te organiseren of minstens strikt te controleren.

Wanneer managers, collega’s of IT-medewerkers daar ad hoc mee beginnen improviseren, ontstaat immers snel een situatie waarin derden onvoldoende transparant geïnformeerd worden over wat er werkelijk met hun communicatie gebeurt.

Waarom alternatieven voor een OOO problematisch zijn

Net omdat de GBA zo sterk inzet op transparantie tegenover derden, botsen veel alternatieve oplossingen op juridische problemen.

Een eerste reflex bestaat erin de mailbox gewoon onmiddellijk af te sluiten zonder enige melding aan externe contacten. Dat lijkt op het eerste gezicht de meest privacyvriendelijke oplossing, maar creëert tegelijk een ander probleem. Verzenders blijven dan vaak in de onwetendheid dat hun communicatie nooit meer gelezen zal worden. Klanten, leveranciers of andere contacten kunnen daardoor blijven vertrouwen op communicatiekanalen die in werkelijkheid niet langer functioneren.

Een tweede vaak gebruikte oplossing is automatische forwarding van inkomende mails naar een collega of manager. Maar ook dat is juridisch bijzonder gevoelig. Niet alleen ontbreekt opnieuw transparantie tegenover de verzender, bovendien bestaat het risico dat persoonlijke of vertrouwelijke communicatie automatisch terechtkomt bij personen voor wie die informatie nooit bestemd was. Zelfs ondernemingen met strikte policies rond privégebruik kunnen immers niet uitsluiten dat mailboxen persoonlijke elementen bevatten.

Sommige organisaties gaan nog verder en zetten de mailbox van de voormalige medewerker om naar een soort functionele mailbox die door anderen verder wordt gebruikt. Ook dat creëert belangrijke juridische problemen. Externe contacten blijven dan vaak geloven dat zij nog steeds communiceren met dezelfde persoon, terwijl in werkelijkheid andere medewerkers de communicatie opvolgen. In bepaalde gevallen kunnen collega’s zelfs berichten verzenden onder naam van de voormalige medewerker, wat de verwarring nog groter maakt.

En precies daarom duwt de GBA zo duidelijk richting een transparante, tijdelijke out-of-office oplossing. Niet omdat dit technisch de eenvoudigste aanpak zou zijn, maar omdat zij het best aansluit bij het fundamentele uitgangspunt van de GDPR: transparantie over wie persoonsgegevens verwerkt, waarom dat gebeurt en wat er precies met communicatie plaatsvindt.

Het echte probleem: bedrijven gebruiken mailboxen als archief

Operationeel begrijpelijk, juridisch moeilijk

Veel organisaties gebruiken mailboxen in de praktijk als een informeel archief. Niet omdat dit juridisch doordacht is, maar omdat het operationeel zo gegroeid is. Contracten zitten in e-mailbijlagen, commerciële afspraken worden bevestigd in een thread, klanthistorieken staan verspreid over persoonlijke inboxen en belangrijke beslissingen zijn soms alleen nog terug te vinden via oude mailconversaties.

Wanneer een medewerker vertrekt, ontstaat daardoor meteen onrust. Wat als er later nog informatie nodig is? Wat als een klant verwijst naar een oude afspraak? Wat als een lopend dossier onvolledig blijkt? Vanuit dat perspectief is het begrijpelijk dat managers toegang willen behouden tot de mailbox van de vertrokken medewerker.

Maar precies die operationele afhankelijkheid maakt het juridisch problematisch. Een mailbox is geen neutrale bedrijfsdatabank. Zij is gekoppeld aan een individueel identificeerbare persoon en bevat communicatie van en met natuurlijke personen. Daardoor blijft elke verdere bewaring, doorzoeking of raadpleging van die mailbox een verwerking van persoonsgegevens.

Maar daar stopt de analyse niet. Zodra managers, collega’s of IT-medewerkers historische mailboxen beginnen doorzoeken, raken zij potentieel ook aan de vertrouwelijkheid van elektronische communicatie. Een mailbox bevat immers niet alleen bedrijfsinformatie, maar ook correspondentie die oorspronkelijk gericht was aan één specifieke persoon en waarvan verzenders redelijkerwijze mochten verwachten dat die niet zomaar door derden zou worden gelezen.

Net daarom speelt naast de GDPR ook het bredere principe van het communicatiegeheim een belangrijke rol. De Belgische wetgeving rond elektronische communicatie verbiedt in principe dat men opzettelijk kennis neemt van elektronische communicatie die niet voor hem bestemd is. En precies daardoor wordt structurele toegang tot historische mailboxen juridisch veel gevoeliger dan veel ondernemingen beseffen.

Met gevangenisstraf van zes maanden tot twee jaar en met geldboete van tweehonderd euro tot tienduizend euro of met een van die straffen alleen wordt gestraft hij die [...] opzettelijk, met behulp van enig toestel niet voor publiek toegankelijke communicatie, waaraan hij niet deelneemt, onderschept of doet onderscheppen, er kennis van neemt of doet van nemen, opneemt of doet opnemen, zonder de toestemming van alle deelnemers aan die communicatie.

— Artikel 314bis, §1, 1° Strafwetboek

Gerichte recuperatie is niet hetzelfde als structurele toegang

Dat betekent niet dat een onderneming nooit informatie uit een mailbox mag veiligstellen. In uitzonderlijke situaties kan er een legitieme nood bestaan om bepaalde bedrijfsinformatie te recupereren, bijvoorbeeld omdat een lopend dossier anders niet correct kan worden opgevolgd. Maar dan moet het gaan om een gerichte, beperkte en aantoonbaar noodzakelijke handeling.

Dat is iets anders dan een mailbox maanden of jaren toegankelijk houden omdat zij “misschien nog nuttig kan zijn”. In dat geval verandert de mailbox in een schaduwarchief: een parallel systeem waarin bedrijfsinformatie wordt bewaard zonder duidelijke structuur, zonder heldere bewaartermijn en zonder voldoende onderscheid tussen professionele informatie, persoonsgegevens en mogelijke privécommunicatie.

Net dat onderscheid lijkt centraal te staan in de lijn van de GBA. De toezichthouder aanvaardt geen algemene praktijk waarbij historische inboxen beschikbaar blijven als kennisbank voor de organisatie. Hoe ruimer en langer die toegang blijft bestaan, hoe moeilijker het wordt om nog een concreet doel, een geldige rechtsgrond en een proportionele verwerking aan te tonen.

Wat organisaties eigenlijk moeten organiseren

De praktische conclusie is eenvoudig, maar vaak lastig in uitvoering: ondernemingen moeten hun informatiebeheer organiseren vóór iemand vertrekt, niet nadat de mailbox al een probleem is geworden.

Cruciale bedrijfsinformatie hoort in principe niet opgesloten te zitten in individuele mailboxen. Zij hoort thuis in gedeelde dossiers, CRM-systemen, contractdatabanken, document management platforms of andere centrale omgevingen waar de onderneming controle heeft over toegang, bewaartermijnen en continuïteit.

Dat is geen louter privacyadvies. Het is ook gezond bedrijfsbeheer. Een organisatie die afhankelijk blijft van persoonlijke inboxen voor haar geheugen, creëert niet alleen GDPR-risico’s, maar ook operationele kwetsbaarheid. Zodra een medewerker vertrekt, ziek wordt of intern van rol verandert, blijkt dan dat de onderneming haar kennis niet echt beheert, maar verspreid bewaart in individuele mailboxen.

Conclusie

De lijn van de GBA is ondertussen bijzonder duidelijk. Een professionele mailbox mag geen permanent archief worden zodra een medewerker het bedrijf verlaat.

Dat betekent niet dat ondernemingen geen legitieme nood hebben aan communicatiecontinuïteit of recuperatie van bepaalde bedrijfsinformatie. Maar precies daar verwacht de toezichthouder dat organisaties duidelijke grenzen trekken, transparant werken en hun informatiebeheer structureel organiseren.

En net dat blijkt in de praktijk vaak het echte probleem. Niet de mailbox zelf, maar het feit dat ondernemingen er stilaan afhankelijk van geworden zijn als informeel kennis- en archiefsysteem.Daarom gaat deze discussie uiteindelijk over veel meer dan louter GDPR-compliance. Zij raakt tegelijk aan governance, kennisbeheer, continuïteit en de maturiteit van de interne organisatie.

Bij consey(.legal) begeleiden wij ondernemingen bij het uitwerken van juridisch correcte en praktisch werkbare processen rond mailboxbeheer, offboarding en informatiegovernance.

Want hoe langer mailboxen het echte geheugen van de onderneming worden, hoe groter het juridische en operationele risico uiteindelijk wordt.

Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)