Afgelopen week vroeg een systeembeheerder mij hoe hij best kan reageren op de vraag om het internetgebruik van de secretaresse `even een paar weken te monitoren`? Zijn gevoel zei dat dat niet zomaar kon, maar wat zegt de wet?
Het komt vast vaker voor dat systeembeheerders een leidinggevende of collega over de vloer krijgen die begint over het internetgedrag van een secretaresse. Meestal in de strekking van: ‘ik weet niet wat ze doet op het internet maar ik kan mij niet voorstellen dat het zakelijk gebruik is’. Vervolgens krijgt de systeembeheerder de vraag of hij de betrokken persoon kan controleren.
Een systeembeheerder voelt soms aan dat het internetgedrag van de secretaresse niet de echte aanleiding is, maar dat redenen worden gezocht om iemand weg te werken. Daarom is de vraag in hoeverre een vermoeden van een enkele persoon voldoende is om het internetgebruik te gaan controleren?
Omdat monitoring van internetgebruik raakt aan het recht op privacy moet deze vraag worden beoordeeld in het licht van de Wet Bescherming Persoonsgegevens.
Het Europese Hof bevestigde al ruime tijd geleden dat het recht op privacy ook geldt op de werkvloer.
De werkgever heeft echter wel een instructiebevoegdheid ten aanzien van zijn werknemers. De werkgever stelt internetfaciliteiten ter beschikking aan zijn werknemers en mag aan dat gebruik ook begrenzingen stellen. Dat moet hij echter doen in de vorm van een IT-reglement dat inzichtelijk is voor iedereen. Enkel indien het vertrouwen van de werkgever wordt beschaamd of dreigt te worden beschaamd, kan de werkgever besluiten het internet- of mailgebruik van een werknemer te controleren op een manier die zo weinig mogelijk inbreuk maakt op de privacy van de betrokken werknemer.
De Pavlov-reactie van elke systeembeheerder bij een verzoek tot monitoring zou moeten zijn te vragen of er een vermoeden van misbruik is, waaruit dat vermoeden bestaat, om vervolgens het IT reglement ter hand te nemen. Het is immers het IT reglement dat de omstandigheden omschrijft waarin kan worden gemonitord, en dat vermeldt welk internetgebruik niet is toegestaan.
Als hier geen transparante regels over zijn, mag een werkgever zijn systeembeheerder niet vragen om te gaan monitoren.
Werknemers die andere werknemers (ondersteunend personeel) willen controleren, kan al helemaal niet. Ieder verzoek dat op gespannen voet staat met de privacyregels moet in lijn zijn met het IT reglement en moet uitgaan van een leidinggevende.
Bovendien moet de secretaresse bericht krijgen van het feit dat er gemonitored wordt. Best kondig je aan de hele afdeling aan dat het internetgebruik gedurende een periode x zal worden gemonitored als steekproef.
Een systeembeheerder die zich niet lekker voelt bij een verzoek moet in de mogelijkheid zijn een onterecht verzoek om controle te weigeren. Aan de leidinggevende die om controle vroeg, kan de systeembeheerder aangeven dat er geen grond is voor controle en dat lichtzinnig monitoren een inbreuk is op de Wet Bescherming Persoonsgegeven.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.