Maandag 24 februari 2014

Digitale privacy op de werkvloer

Het is niet de bedoeling dat zakelijke communicatiemiddelen gebruikt worden voor privédoeleinden, maar het gebeurt natuurlijk wel. Hoewel de werkgever eigenaar is van bedrijfsmiddelen, mag het privégebruik van zakelijke telefoon- en internetverbindingen niet zomaar verboden worden. Dit laatste komt door het recht op (bescherming van de) persoonlijke levenssfeer, zoals verwoord in artikel 8 van het Europese Verdrag tot bescherming van de rechten van mens en de fundamentele vrijheden (EVRM). Toch heeft de werkgever een belang bij beperking van privégebruik, bijvoorbeeld omdat schade kan worden opgelopen door internetgebruik op de werkplek. Er kunnen computers geïnfecteerd worden met virussen of onwenselijke websites bekeken worden (porno, gokken). In dat kader kan het gerechtvaardigd zijn dat de werkgever regels stelt over het gebruik van zakelijke communicatiemiddelen. Van belang is dus een evenwicht te vinden tussen de belangen van onderneming en de privacybelangen van de werknemer. Hierna wordt besproken op grond van welke regelgeving en onder welke voorwaarden de werkgever inbreuk kan maken op de privacy van de werknemer. Aan bod komen onder meer het monitoren en loggen van het internetgebruik, het controleren van e-mail en het inzien van een zakelijke computer.

Artikel 8 EVRM
Artikel 8 van het EVRM beschermt de persoonlijke levenssfeer, waaronder privé-, familie- en gezinsleven, de woning en correspondentie. Een inmenging in dit recht is slechts gerechtvaardigd op grond van een redelijk doel (bijvoorbeeld het voorkomen van schade). Het Europees Hof voor de rechten van de mens (EHRM) erkent in het arrest Copland dat een werknemer ook op de werkplek een redelijke verwachting mag hebben van de bescherming van zijn persoonlijke levenssfeer. Aldus bestaat ook een recht op vertrouwelijke communicatie. Beperking van en controle op telefoon-, e-mail- en internetgebruik is enkel toegestaan op grond van criteria waarvoor een wettelijke basis bestaat, aldus het Hof. Daarnaast is bepaald dat controle niet heimelijk mag plaats vinden. De werknemer moet op de hoogte zijn van de door de werkgever beoogde controles. Als de werknemer op de hoogte is gebracht, kan geen redelijke verwachting van privacy meer bestaan.

 

Proportionaliteit en subsidiariteit
Op basis van de norm van goed werkgever- en werknemerschap (artikel 7:611 BW) dienen de regels die de werkgever stelt te voldoen aan de beginselen van proportionaliteit en subsidiariteit. De werkgever mag alleen regels opstellen die noodzakelijk zijn om de gerechtvaardigde belangen van de werkgever te beschermen (proportionaliteit). Subsidiariteit houdt in dat eventuele andere, minder ver gaande maatregelen niet mogelijk zijn. In de Wet bescherming persoonsgegevens (Wbp) komen de beginselen van proportionaliteit en subsidiariteit ook terug. 1Memorie van toelichting over artikel 8 van de Wbp

Gelet op de eisen van proportionaliteit en subsidiariteit kunnen aan privégebruik dus wel voorwaarden worden gesteld, bijvoorbeeld dat geen racistische of aanstootgevende berichten mogen worden verzonden. Het blokkeren van bepaalde ongewenste websites door de werkgever, zoals pornografische of schadelijke (peer-to-peer) websites en social media, is ook mogelijk omdat dit proportioneel is om schade te voorkomen en de minst ingrijpende maatregel is. Daarnaast kan een werkgever zorg dragen voor het blokkeren van het installeren van software. In bepaalde gevallen zal de werkgever zelfs over kunnen gaan tot het opleggen van een totaalverbod op privégebruik van zakelijke communicatiemiddelen of een algemene blokkade van internet. Dit hangt af van de omstandigheden van het geval, zoals de werkplek en de gegevens waarmee gewerkt wordt.

Wet bescherming persoonsgegevens
Zodra persoonsgegevens verwerkt worden is de Wbp van toepassing (zie artikel Wbp). Anoniem monitoren en loggen van internetgebruik is dus niet aan die regels van de Wbp gebonden. Over het algemeen moet een werknemer inloggen op een werkplek waardoor die werknemer door middel van zijn gebruikersnaam of inlogcode geïdentificeerd kan worden. Alles wat nadien als behorend bij die gebruikersnaam geregistreerd wordt is daarom aan te merken als een verwerking van persoonsgegevens in de zin van de Wbp. Op grond van de Wbp moet een legitiem doel voor de verwerking aanwezig zijn (artikel 7 van de Wbp). Artikel 8 onder f van de Wbp geeft als mogelijk doel bescherming van de gerechtvaardigde belangen van de verantwoordelijke. Ook moet het College bescherming persoonsgegevens (Cbp) worden geïnformeerd over de verwerking en het doel daarvan.

Het doel van beperking van beveiligingsrisico’s voor verwerking van persoonsgegevens weegt over het algemeen niet op tegen het privacybelang van alle werknemers. Het is dus niet legitiem om op grond daarvan het gebruik van internet van werknemers te monitoren en te loggen. Daarnaast voldoet dit niet aan het subsidiariteitsbeginsel omdat de werkgever ook andere maatregelen kan treffen (firewall/virusscan ed.). Op het moment dat een vermoeden van wangedrag van een werknemer naar voren komt, zal dat wel een legitiem doel vormen om het internetgedrag van die werknemer te monitoren en loggen. In het kader van proportionaliteit moet de werkgever erop letten dat niet ook de gegevens van andere werknemers onnodig worden ingezien.

Voorts kan het controleren van e-mail op grond van de Wbp geoorloofd zijn, maar de belangen van de werknemer wegen hierbij zwaar. Er kan een legitiem doel bestaan om de inhoud van e-mails van een werknemer te lezen, bijvoorbeeld bij een verdenking van malversaties van werknemers richting klanten. 2RB. Rotterdam, 21 september 2011 [ECLI:NL:RBROT:2011:BU4848] De controle op e-mail moet ook voldoen aan de eisen van proportionaliteit en kenbaarheid. Verder is het doorzoeken van de bedrijfscomputer of serverruimte van de werknemer gerechtvaardigd in geval van zwaarwegende belangen van de werkgever. Dit kan het geval zijn als de werknemer op staande voet is ontslagen of ziek is en de werkzaamheden anders geen doorgang kunnen vinden.

Tot slot geldt bij dergelijke verwerkingen het beginsel van kenbaarheid (artikelen 33 en 34 van de Wbp). De werknemer moet geïnformeerd zijn over de mogelijkheid van monitoring, controle op e-mail of doorzoeking van een bedrijfscomputer. Dit kan bijvoorbeeld door middel van de arbeidsovereenkomst of een reglement.

Reglement en handhaving
Voor het invoeren van een reglement over internetgebruik is toestemming van de Ondernemingsraad nodig op grond van artikel 27 van de Wet op de ondernemingsraden. Een ondernemingsraad moet worden aangesteld in een bedrijf met meer dan 50 werknemers. Het reglement moet bekend worden gemaakt aan de werknemers. De sancties die gesteld worden op overtreding van verschillende regels moeten passend zijn bij die overtreding. Uit de rechtspraak wordt duidelijk dat indien regels bekend zijn gemaakt aan de werknemer dit meeweegt in zijn nadeel.

Het College Bescherming Persoonsgegevens (CBP) heeft een raamregeling opgesteld waarbij rekening wordt gehouden met belangen van werkgever en werknemer. Daarnaast heeft werkgeversorganisatie VNO-NCW een gedragscodemodel voor e-werken opgesteld. Ook de vakbond CNV heeft een model gedragscode email- en internetgebruik op zijn website gepubliceerd.

Conclusie
Veilig internetten op de werkplek is voor iedere organisatie een belangrijk aandachtspunt. De controle van werknemers is mogelijk indien dit is vastgelegd in wettelijke regels, het voldoet aan de vereisten van proportionaliteit en subsidiariteit en de controle vooraf kenbaar wordt gemaakt aan de werknemer. Handhaven van een veilig internetklimaat op de werkplek zal daarom pas in laatste instantie via controle moeten verlopen. Om dit op een juiste manier te regelen wordt verwezen naar de raamregeling van het Cbp. Werknemers moeten zich daarentegen ook bewust zijn van hun verantwoordelijkheid richting de werkgever.

 

   [ + ]

1. Memorie van toelichting over artikel 8 van de Wbp
2. RB. Rotterdam, 21 september 2011 [ECLI:NL:RBROT:2011:BU4848]