Gebruik internet en apparatuur: hoe geef je richting aan werknemers?

Waar gewerkt wordt komt gebruik van internet en apparatuur om de hoek kijken. De tijden van de ganzenveer ligt al lang en breed achter ons. Werken in de trein of in een koffiezaak en Bring Your Own Device (BYOD) zijn inmiddels bekende fenomenen. Dit soort verschijnselen zorgen voor de nodige uitdagingen voor organisaties. Er is namelijk een verhoogd risico dat onbevoegden toegang verkrijgen tot gegevens. Bijvoorbeeld als werknemers hun e-mail bekijken via externe netwerkverbindingen en toegang krijgen tot de systemen op eigen apparatuur. Maar hoe houd je dit dan zo veilig mogelijk? Dit kan door beleid op te stellen over hoe medewerkers met internet en (eigen) apparatuur dienen om te gaan.

Neem verantwoordelijkheid en geef instructies

De AVG verplicht organisaties om maatregelen te nemen ter bescherming van gegevens. De wijze waarop werknemers omgaan met internet en apparatuur speelt daarin een belangrijke rol. De mens is een belangrijke factor bij de bescherming van gegevens. Je kunt je technische beveiliging nog zo goed op orde hebben, als werknemers er een potje van maken, dan is de kans op een datalek aanzienlijk. Daarom is het belangrijk om duidelijke kaders te scheppen waar werknemers zich aan moeten houden bij het gebruik van internet en apparatuur.

Als organisatie moet je kunnen verantwoorden dat je voldoet aan de AVG. Met andere woorden, in dat kader moet je kunnen bewijzen ‘dat je doet aan beveiliging’. Het hebben van een beleid met instructies lijkt de eerste aangewezen weg voor dit bewijs. Een organisatie mag dergelijke instructies geven op grond van het instructierecht (artikel 7:660 BW). In welke vorm je de instructies giet is niet in beton gegoten. Dit kan in een apart ICT- en internetreglement, maar kan bijvoorbeeld ook onderdeel zijn van algemeen privacybeleid.

Handvatten, controle en sancties

In een ICT- en internetreglement geef je handvatten aan werknemers over kwesties zoals internetgebruik, gebruik van mobiele telefoons, het gebruik van software, en het gebruik van privé-apparatuur. Daarbij komen vragen aan de orde als in hoeverre mogen werknemers internet en e-mail privé gebruiken? Zijn er websites die niet mogen worden bezocht of e-mails die niet mogen worden geopend? Mogen werknemers ‘zomaar’ iets downloaden? En hoe dient te worden omgegaan met openbare Wifi-netwerken?

In een ICT- en internetreglement kunnen tevens controlemogelijkheden worden opgenomen. Daarbij worden werknemers geïnformeerd over onder welke voorwaarden apparatuur en internetgebruik kan worden gecontroleerd door de organisatie. Belangrijk is dat hierbij wel de privacy van de werknemers in het oog wordt gehouden en dat alleen controle plaatsvindt indien de werkgever daar een gerechtvaardigd belang bij heeft. Deze afweging dient duidelijk naar voren te komen in het ICT- en internetreglement. Daarnaast kunnen de op te leggen sancties, zoals een berisping en schorsing tevens in het ICT- en internetreglement worden opgenomen, wat zorgt voor juridische consequenties wanneer een werknemer zich niet aan de instructies houdt. Zo voorkom je dat de instructies een lege huls worden.

Vergeet de Ondernemingsraad niet

Eerder heb ik geschreven over de rol van Ondernemingsraad (OR). De OR wordt vaak over het hoofd gezien bij de implementatie van de AVG. Is instemming voor de implementatie van een ICT- en internetreglement vereist? Op grond van de Wet op de ondernemingsraden (WOR) heeft de OR instemmingsrecht bij elk voorgenomen besluit tot het vaststellen, wijzigen of intrekken van regelingen op het gebied van verwerken of beschermen van persoonsgegevens van werknemers (artikel 27 lid 1 sub k WOR). Een vast te stellen ICT-reglement kan onder artikel 27 lid 1 sub k WOR vallen. Dit is afhankelijk van wat er precies in het ICT-reglement komt te staan. Doorgaans zal dit wel het geval zijn. De instemming van de OR is in het bijzonder vereist indien in het ICT- en internetreglement een regeling is opgenomen voor het controleren door de werkgever van het gebruik van apparatuur en internetgebruik.

Belangrijk is ook om te controleren of de implementatie van het ICT- en internetreglement samenhangt met de invoering of wijziging van een belangrijke technologische voorziening. Indien dat het geval is heeft de OR namelijk een adviesrecht ten aanzien van die technologische voorziening op grond van artikel 25 lid 1 sub k.

Beleid uitrollen

Regels die worden ingesteld op grond van het instructierecht mogen eenzijdig aan de werknemers worden opgelegd. Je hoeft de werknemers dus niet om een handtekening te vragen bij het opleggen of wijzigen van de regels. Dat scheelt. Het beleid dient wel te worden uitgerold. Onder de bestaande werknemers is aan te raden om te werken met een leesbevestiging, zodat vaststaat dat de werknemers het beleid daadwerkelijk onder ogen hebben gekregen. Voor nieuwe werknemers dient het beleid onderdeel gemaakt te worden van de indiensttredingsprocedure. Ook kun je denken aan het inplannen van trainingen, het op de gedeelde schijf opslaan van informatie en het regelmatig delen van nieuwtjes of reminders. Op deze manier blijf je niet stuurloos toekijken, maar geef je richting aan werknemers.

Terug naar overzicht