Mag ik het e-mailaccount van een vertrekkende medewerker zomaar overnemen?

Niet zonder zorg. Een persoonlijk werkadres zoals voornaam.achternaam@jouwbedrijf.eu bevat persoonsgegevens van de medewerker; het inzien of overnemen ervan is dus een verwerking onder de GDPR. Je moet de medewerker informeren, hem de kans geven om persoonlijke inhoud te verwijderen en een rechtsgrond hebben. Een Noors bedrijf dat het wachtwoord wijzigde en het account overnam tijdens de opzegtermijn, zonder de medewerker in te lichten, kreeg een boete van 14.700 euro.

Mag ik de e-mail van een ex-werknemer actief houden om binnenkomende klantmail op te vangen?

Nee, niet onbeperkt. De Noorse toezichthouder oordeelde dat het actief houden van de mailbox na vertrek een schending van de GDPR was. De juiste aanpak is het persoonlijke account afsluiten en klanten doorverwijzen naar een generiek adres zoals info@ of sales@, eventueel met een tijdelijk automatisch antwoord dat naar de nieuwe contactpersoon verwijst. De Italiaanse Garante stelde dat het toegestane alternatief juist een automatisch antwoord is dat afzenders naar andere adressen verwijst, zonder de binnenkomende mail te lezen.

Is een mailbox deactiveren genoeg, of moet ik hem verwijderen?

Deactiveren is niet hetzelfde als verwijderen. In 2026 beboette de Belgische GBA een bedrijf met ongeveer 176.000 euro, deels omdat de mailbox van een ex-werknemer bleef bestaan op de servers. Zolang de mailbox bestaat, verwerk je nog steeds persoonsgegevens van die persoon. Een korte overgangsperiode van ongeveer een maand kan gerechtvaardigd zijn; daarna verwijder je de mailbox.

Wat moet ik regelen vóór een medewerker uit dienst gaat?

Zorg voor een personeelsprivacybeleid dat het gebruik van e-mail en accounts dekt, leg je offboardingproces vast en geef de medewerker een duidelijke kans om persoonlijke inhoud uit zijn mailbox en andere tools te verwijderen voordat zijn toegang stopt.

Waarom moet ik niet afhankelijk zijn van persoonlijke werkadressen?

Als een functie afhangt van voornaam.achternaam@jouwbedrijf.eu, ben je geneigd dat account na vertrek actief te houden, en juist dat levert boetes op. Met generieke adressen zoals sales@ of info@ kun je persoonlijke accounts netjes afsluiten zonder de continuïteit te verliezen.

Werknemer Uit Dienst? Wat Te Doen Met De E-mail (GDPR)

Als iemand uit dienst gaat, mag je zijn zakelijke e-mailaccount niet zomaar overnemen of verwijderen. Een Noors bedrijf leerde dat met een boete van 14.700 euro. Zo ga je onder de GDPR om met accounts van vertrekkende medewerkers.

Wanneer een medewerker uit dienst gaat, wat doe je dan met zijn accounts? Hij heeft waarschijnlijk een zakelijk e-mailaccount van het bedrijf, plus accounts op de tools die je dagelijks gebruikt: het CRM, het HR-systeem, enzovoort.

Mag je die accounts zomaar verwijderen of overnemen? Met de GDPR en goede privacypraktijken in het achterhoofd moet je voorzichtiger zijn dan je misschien denkt.

Een les van 14.700 euro uit Noorwegen

Een Noors bedrijf maakte verschillende fouten bij het beheren van het e-mailaccount van een ex-werknemer, en dat kostte het 14.700 euro aan boetes. Het is de moeite waard om te begrijpen wat er misging.

Een medewerker beëindigde zijn dienstverband bij het bedrijf. Tijdens de opzegtermijn wijzigde de werkgever het wachtwoord en nam hij het werkaccount over, zonder de betrokkene in te lichten en dus zonder hem de kans te geven persoonlijke inhoud te verwijderen. Bovendien werd het account na het vertrek niet afgesloten.

De voormalige werkgever negeerde het verzoek om het e-mailaccount te verwijderen en stelde alleen een afwezigheidsbericht in. Gevraagd om uitleg, voerde het bedrijf aan dat het de mailbox nodig had om klantrelaties te onderhouden en operationele informatie te ontvangen tot de medewerker vervangen was.

De Noorse toezichthouder stelde verschillende schendingen van de GDPR vast:

Het inzien van het e-mailaccount en de e-mails van de medewerker was onrechtmatig.
De werkgever informeerde de medewerker niet en schond daarmee artikel 13.
De werkgever sloot het e-mailaccount van de medewerker niet af.

Voor deze schendingen kreeg het bedrijf een boete van 14.700 euro.

Dit is geen eenmalig geval

Noorwegen staat niet alleen. Toezichthouders in heel Europa blijven werkgevers hiervoor beboeten, en de uitspraken worden strenger.

Italië, 2023. De Italiaanse toezichthouder (Garante) beboette een bedrijf met 5.000 euro omdat het de mailbox van een vertrokken medewerker actief hield, de binnenkomende mail las en automatische doorsturing naar een andere medewerker instelde. De werkgever voerde aan dat hij het account nodig had om zich in de rechtbank te verdedigen. De Garante verwierp dat resoluut: het belang om een rechtsvordering te verdedigen weegt niet zwaarder dan iemands recht op gegevensbescherming. De toezichthouder benoemde ook het juiste alternatief, namelijk een automatisch antwoord dat afzenders naar andere adressen verwijst, zonder de binnenkomende mail te lezen.

België, 2026. De Belgische Gegevensbeschermingsautoriteit (GBA) beboette een bedrijf met ongeveer 176.000 euro omdat het de mailbox van een ex-werknemer ongeveer zes maanden na vertrek actief hield. De kernles: een mailbox deactiveren is niet hetzelfde als verwijderen. Zolang de mailbox op je servers blijft bestaan, verwerk je nog steeds de persoonsgegevens van die persoon. Een korte overgangsperiode (doorgaans rond een maand) kan gerechtvaardigd zijn, maar daarna moet de mailbox weg.

Waarom een werkadres een persoonsgegeven is

Een persoonlijk werkadres zoals voornaam.achternaam@jouwbedrijf.eu identificeert een specifieke persoon. Daardoor is het een persoonsgegeven van die medewerker. Het account actief houden na vertrek, de binnenkomende mail lezen of het zonder bericht overnemen zijn allemaal vormen van verwerking, en elk daarvan vereist een rechtsgrond en correcte transparantie.

Dit is het deel dat veel bedrijven over het hoofd zien. Een account afsluiten voelt als een IT-klusje, maar onder de GDPR is het een beslissing over de verwerking van iemands persoonsgegevens.

Best practices voor accounts van vertrekkende medewerkers

Op basis van de Noorse uitspraak en vergelijkbare zaken raden we het volgende aan:

1. Zorg voor een personeelsprivacybeleid

Zorg voor een personeelsprivacybeleid dat het gebruik van en de toegang tot mailaccounts en andere accounts dekt, zodat medewerkers vooraf weten hoe met hun accounts wordt omgegaan.

2. Leg je interne proces vast

Leg vast hoe je bedrijf accounts beheert en hoe de overdracht van accounts verloopt wanneer een dienstverband eindigt. Een helder, herhaalbaar offboardingproces is je beste bescherming.

3. Neem een persoonlijk werkaccount nooit over zonder bericht

Wijzig het wachtwoord van een persoonlijk werkaccount zoals voornaam.achternaam@jouwbedrijf.eu niet en neem het niet over zonder de medewerker eerst te informeren. Geef hem de kans om persoonlijke inhoud te verwijderen.

4. Sluit het account af, en verwijder het ook echt

Sluit een persoonlijk werkaccount zoals voornaam.achternaam@jouwbedrijf.eu altijd af zodra de medewerker uit dienst is. Houd het niet onbeperkt actief om binnenkomende mail op te vangen. Onthoud de Belgische les: deactiveren is niet verwijderen. Verwijder de mailbox definitief na een korte overgangsperiode (rond een maand).

5. Gebruik een automatisch antwoord in plaats van de mailbox te lezen

Als je een periode nodig hebt om contacten door te verwijzen, stel dan een automatisch antwoord in dat afzenders naar een generiek adres verwijst, zonder de binnenkomende mail te openen of door te sturen. Dit is precies de aanpak die de Italiaanse toezichthouder als toegestaan alternatief beschreef.

6. Maak bedrijfsfuncties niet afhankelijk van persoonlijke werkadressen

Vertrouw voor geen enkele functie binnen het bedrijf uitsluitend op persoonlijke werkaccounts. Zet generieke adressen op zoals sales@jouwbedrijf.eu of info@jouwbedrijf.eu en vraag klanten om die te gebruiken. Zo kun je een persoonlijk account netjes afsluiten wanneer iemand vertrekt, zonder de continuïteit te verliezen.

Bronnen

Uitspraak Noorse toezichthouder (2021, 14.700 euro): Virksomhet får gebyr for innsyn i tidligere ansatts e-postkasse
Beslissing Italiaanse Garante (2023, 5.000 euro): Company email: the employer’s right of defence in court cannot limit the worker’s right to data protection
Boete Belgische GBA (2026, ca. 176.000 euro): Belgium: unlawful mailbox retention leads to EUR 176,000 fine

auto_awesome Leg je offboardingproces vast

GDPRWise helpt je een personeelsprivacybeleid en heldere interne processen op te zetten, zodat je correct omgaat met de accounts van vertrekkende medewerkers.

Start je gratis scan

Werknemer uit dienst: wat doe je met het e-mailaccount?