Bron: Security.NL
Een groot Belgisch techbedrijf heeft een totale boete van 176.000 euro ontvangen van de Belgische Gegevensbeschermingsautoriteit (GBA) omdat het de e-mailmailbox van een voormalig medewerker niet tijdig had verwijderd. De GBA maakte de beslissing bekend op 12 mei 2026, aldus Security.NL. De naam van het bedrijf is niet openbaar gemaakt.
Volgens Security.NL ontdekte de voormalig medewerker dat haar oude werkmailbox nog steeds actief was nadat zij het bedrijf had verlaten. Ze vroeg het bedrijf om toegang tot de mailbox en om deze te verwijderen. Ondanks haar verzoek heeft het bedrijf naar verluidt niet adequaat gehandeld.
De GBA stelde vast dat het bedrijf de mailbox gedurende ten minste een jaar na het vertrek van de medewerker actief had gehouden, wat de autoriteit als onrechtmatig beschouwde. Het bedrijf voerde naar verluidt aan dat het bewaren van de mailbox gerechtvaardigd was op basis van de functie van de voormalig medewerker, maar de GBA accepteerde deze redenering niet als voldoende grond om de mailbox zo lang actief te houden.
Volgens Security.NL stelde de GBA meerdere overtredingen vast:
De boete bestaat uit twee delen: 160.000 euro voor de onrechtmatige gegevensverwerking en 16.000 euro voor het niet nakomen van de transparantieverplichting, wat neerkomt op een totaal van 176.000 euro.
Deze zaak is een herinnering dat de regels voor gegevensbescherming niet alleen gelden voor klantgegevens. Ze zijn ook van toepassing op de persoonsgegevens van uw eigen medewerkers en voormalige medewerkers. Wanneer iemand uw bedrijf verlaat, worden hun gegevens niet automatisch uw eigendom om voor onbepaalde tijd te bewaren.
Hoewel dit een beslissing is van de Belgische toezichthouder, gelden dezelfde regels op grond van de AVG ook voor Nederlandse bedrijven. De Autoriteit Persoonsgegevens (AP) houdt in Nederland toezicht op de naleving van deze regels en kan bij overtredingen eveneens handhavend optreden.
Als u niet zeker weet of uw bedrijf correct omgaat met medewerkergegevens, is onze AVG-nalevingschecklist een goed startpunt. U kunt ook meer lezen over hoe boetes worden opgelegd aan kleinere bedrijven in onze gids over AVG-boetes.
Hoewel deze zaak betrekking heeft op een intern e-mailsysteem en niet op een website, zijn de onderliggende regels van toepassing op alle persoonsgegevens die uw bedrijf bewaart. Als uw website contactgegevens, boekingsinformatie of personeelsgegevens verzamelt, heeft u een duidelijk beleid nodig voor hoe lang u die gegevens bewaart en hoe u ze verwijdert wanneer ze niet langer nodig zijn. Uw privacybeleid moet dit eerlijk weerspiegelen, zodat mensen weten wat er met hun informatie gebeurt.
Gratis websitescan voor AVG, auteursrecht, toegankelijkheid, beveiliging en meer.
Gratis scan startenVeel kleine ondernemers gaan ervan uit dat ze juridisch gedekt zijn voor het gebruik van persoonsgegevens zodra een klant op "akkoord" klikt bij de algemene voorwaarden. Volgens het Nederlandse intern
Een Europese rechter heeft verduidelijkt dat bedrijven in bepaalde omstandigheden een verzoek om inzage in persoonsgegevens (ook wel AVG-inzageverzoek of DSAR genoemd) kunnen weigeren, zelfs als het d
De Autoriteit Persoonsgegevens (AP) vraagt om publieke inbreng op een concept-handhavingsbeleid, zo blijkt uit een aankondiging op de [AP-website](https://autoriteitpersoonsgegevens.nl/actueel/ap-vraa