ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Juridisch advies / Monitoren van ICT- en internetgebruik op het werk

Vrijwel iedere organisatie doet het, of overweegt het op zijn minst: het monitoren van het gedrag van medewerkers, bezoekers of klanten.

Netwerkverkeer is eenvoudig te loggen, e-mail kan worden gescand en bezoeken aan websites kunnen worden geanalyseerd om niet-werkgerelateerde sites te kunnen identificeren. Met cameratoezicht is ander gedrag na te gaan.

Ook in het openbare leven bestaat het recht op privacy. Organisaties mogen niet zomaar bijhouden wat medewerkers, bezoekers of klanten doen, ook niet bij privégebruik van internet, e-mail of telefoon. Dergelijk bijhouden valt namelijk ook onder de Wet bescherming persoonsgegevens (Wbp).

Maak met onze generator hier uw ict- en internetreglement voor 45 euro,-.

Monitoren van werknemers

Bedrijfsmiddelen zoals internettoegang worden beschikbaar gesteld omdat ze nodig zijn voor het werk. Ze zijn eigendom van de werkgever. Deze mag dus regels stellen aan het gebruik van die middelen, en nagaan of mensen zich daar wel aan houden. Maar als het om internettoegang of computergebruik gaat, dan wordt het lastig: de werknemer heeft recht op privacy, óók bij privégebruik van computer of internet. Dat betekent niet dat de werknemer zomaar alles mag – de werkgever mag grenzen, stellen maar die grenzen mogen niet neerkomen op een totaalverbod van privégebruik of een absolute bevoegdheid tot persoonsgericht monitoren.

Vandaag de dag zijn de grenzen tussen privé en zakelijk sterk vervaagd. Werkgevers moeten accepteren dat werknemers privézaken regelen en hun persoonlijke netwerk onderhouden onder werktijd. Net zo goed als werknemers moeten accepteren dat het werk niet altijd om vijf uur klaar is en dat ze ook buiten kantoor worden aangekeken op hun positie. Dit betekent dat een werkgever niet zomaar privégebruik van ICT-middelen volledig kan verbieden. Werknemers mogen een ‘redelijk niveau’ van privacy verwachten op de werkplek, zo blijkt uit de rechtspraak.

Op scholen gelden vergelijkbare regels. Leerlingen hebben net als werknemers recht op privacy, ook als ze de schoolcomputers of het schoolnetwerk gebruiken. De school mag regels stellen, maar moet daarbij wel het privacybelang van de leerlingen in het oog houden. Hier is wel een moeilijker spanningsveld: leerlingen zijn vaak minderjarig, en de school heeft dan een grotere zorgplicht, zodat ze eerder gerechtigd kan zijn leerlingen in bescherming te nemen tegen ongewenste invloeden van buitenaf.

Legitiem doel

Het bijhouden van wat werknemers doen op hun pc of via de bedrijfsinternetverbinding is een verwerking van persoonsgegevens en mag dus alleen met een legitiem doel (zie hoofdstuk 4). Daarbij geldt dat de privacy van de werknemer onder normale omstandigheden boven het bedrijfsbelang gaat. De regel “Privé internetten is verboden” is daarmee niet legitiem, en zo’n vérgaand verbod mag een werkgever dus niet instellen. Wel kan hij misbruik van faciliteiten verbieden, of activiteiten die disproportioneel veel verkeer vergen of schade aan de bedrijfsvoering toebrengen.

Vaak voorkomende legitieme doelen zijn:

  • Kosten: internetverkeer kost geld, en voor grote bedrijven bestaan vaak geen contracten die onbeperkt internetten voor een vast bedrag toestaan. Privégebruik van internet kan de werkgever dus op kosten jagen. Een ander kostenaspect is onderhoud: het gebruik van zelf geïnstalleerde software kan een bedrijfscomputer instabiel maken.
  • Beveiligingsrisico’s: een werknemer kan virussen of spyware downloaden, die gevoelige bedrijfsgegevens in gevaar kunnen brengen. Via filesharing software kan hij per ongeluk een map met bedrijfsgegevens delen met de hele wereld. En natuurlijk kunnen bedrijfsgeheimen (al of niet met opzet) naar derden worden gemaild of geüpload.
  • Public relations: als een werknemer vanaf een bedrijfsnetwerk of met een zakelijk e-mailadres met anderen communiceert, zouden anderen kunnen denken dat hij namens het bedrijf spreekt. Zeker als hij bijvoorbeeld reageert op een bericht over het bedrijf, of blogt over zijn werk. Maar ook het op die manier publiceren van smadelijke of racistische teksten heeft consequenties voor het bedrijf. Het bedrijf mag de werknemer daar dan op aanspreken.
  • Juridische risico’s: een werknemer kan misdrijven plegen of mensen schade berokkenen vanaf het bedrijfsnetwerk. Denk aan het illegaal verspreiden van muziek of films, of door het downloaden en installeren van software die niet bedrijfsmatig gebruikt mag worden.
  • Arbeidsconflicten: het bekijken en zeker het binnen het bedrijf rondsturen van pornografie of racistische teksten of beeldmateriaal kan de sfeer op de werkvloer negatief beïnvloeden. En als iemand de hele dag alleen op internet zit te surfen en zijn werk niet doet, kan dat kwaad bloed zetten bij collega’s.

Het spreekt vanzelf dat wanneer een bepaald doel wordt genoemd, de maatregelen ook werkelijk dat doel moeten dienen. Het lezen van e-mail is moeilijk te verenigen met het doel ‘kosten’, want e-mails zijn zelden zó groot dat ze tot hoge kosten leiden.

Ook moet de maatregel de minst schadelijke zijn om het doel te halen. Alle mails lezen voor het geval er mogelijk iemand een pornofoto rondstuurt, is niet de minst schadelijke. Beter zou zijn om te wachten tot iemand komt klagen, om vervolgens de mailbox van de dader te onderzoeken. (In het reglement moet dan natuurlijk wél vastgelegd zijn dat de werkgever zichzelf dat recht voorbehoudt.)

Protocol voor privégebruik

Een werkgever moet werknemers vooraf informeren over hoe en wanneer er gemonitord wordt. Dit gebeurt meestal door invoering van een protocol (ook wel ‘Acceptable Use Policy’ of ‘Fair Use Policy’). Hierin worden algemene regels gegeven over wat wel en niet mag met de bedrijfspc, bedrijfsmail, internetverbinding en (mobiele) telefoon.

Zo kan een protocol verbieden om een abonnement te nemen op premium SMS-diensten, of voorschrijven dat in het buitenland een belkaart wordt gebruikt in plaats van de mobiele telefoon. Een protocol mag privégebruik van ICT-faciliteiten niet volledig verbieden, maar mag er wel (redelijke) grenzen aan stellen. Vaak wordt de formulering “mits dit niet storend is voor de dagelijkse werkzaamheden” gehanteerd. De situaties waarin de werkgever gericht mag kijken of deze grenzen worden overschreden, moeten expliciet worden genoemd. Zo kan meelezen van e-mail gerechtvaardigd zijn als er klachten komen over beledigende mails of verzonden spam. Maar dit is niet de enige mogelijke formulering. Men kan ook een aparte computer inrichten waarmee men het internet op kan en die niet op het interne netwerk aangesloten is, bijvoorbeeld.

Persoonsgericht monitoren mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en als het hoe en wat is gedocumenteerd in het IT-reglement. Zo kan bijvoorbeeld worden vastgelegd dat wanneer uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, het bedrijf persoonsgericht mag kijken wie daarvoor verantwoordelijk is en die persoon daarop mag aanspreken. Een waarschuwing vooraf aan de hele afdeling dat er te veel gedownload is en dat men vanaf de volgende werkdag persoonsgericht gaat monitoren is dan wel zo netjes.

Een bedrijf met meer dan 50 medewerkers is wettelijk verplicht een ondernemingsraad (OR) in te stellen. Eén van de taken van die OR is toezien op de privacy van medewerkers. Omdat een internet/e-mailprotocol over privacygevoelige zaken gaat, is instemming van de OR verplicht bij het invoeren van zo’n protocol. Los daarvan moet het protocol natuurlijk altijd aan alle medewerkers beschikbaar worden gesteld. Bij scholen vervult de medezeggenschapsraad (MR) een vergelijkbare rol; deze heeft dus instemmingsrecht. Wanneer de regels uit het protocol ook over leerlingen gaan, is instemming van specifiek de leerlingen uit de MR vereist.

Werkgeversorganisatie VNO-NCW heeft een modelgedragscode voor het gebruik van (mobiele) telefoon, internet, e-mail, en andere huidige en toekomstige elektronische informatie- en communicatiemiddelen opgesteld. Deze gaat uit van het standpunt dat privégebruik van elektronische communicatiemiddelen in zekere mate toegestaan is, mits dit niet storend is voor de dagelijkse werkzaamheden en mits wordt voldaan aan de overige voorwaarden van deze modelgedragscode. Uitgaan van deze modelcode is zeer aan te bevelen voor bedrijven die eigen gedragscodes of reglementen willen ontwikkelen.

Monitoren van social media

Een protocol kan ook regels stellen aan het gebruik van sociale media, zoals Twitter, Facebook of Google+. Wel moet er dan natuurlijk een redelijk belang zijn voor de werkgever om iets te mogen zeggen over wat werknemers twitteren of Facebooken. Dit belang moet te herleiden zijn tot het werk: werknemers kunnen bedrijfsgeheimen onthullen door bijvoorbeeld een voorgenomen fusie op Facebook te melden, of arbeidsconflicten veroorzaken door te twitteren dat een collega onfris ruikt. Maar ook het vragen beantwoorden over producten of diensten kan het bedrijfsbelang raken: dergelijke communicatie wordt toegerekend aan het bedrijf, en kan het bedrijf dus binden aan bijvoorbeeld een toegezegde schadevergoeding of vervangend product.

Dergelijke regels leveren een beperking van de vrije meningsuiting van de werknemer op, maar dat is legaal. De werknemer kiest er zelf voor wanneer hij in dienst treedt bij dat bedrijf. Maar de werkgever mag niet verder gaan dan het bedrijfsbelang vergt. Zo kan een werkgever een werknemer niet verbieden zijn mening over zijn favoriete voetbalclub te uiten, behalve wellicht wanneer hij bij een concurrerende club werkt. Een werknemer bij een bank mag niet zomaar zeer negatieve artikelen over het bankwezen publiceren. Ook niet als hij dat doet ‘op persoonlijke titel’, terwijl de bedrijfsnaam erbij staat.

Beperkt monitoren

Het monitoren en met name het loggen moet zo veel mogelijk worden beperkt. Een organisatie mag alleen monitoren wat strikt noodzakelijk is om het aangekondigde doel te realiseren. In de praktijk betekent dit dat monitoren en loggen van internet- of computergebruik zo veel mogelijk anoniem moet gebeuren. Pas als daarna wangedrag boven tafel komt, is het toegestaan uit te zoeken wie daarvoor verantwoordelijk is. Wel moet de werkgever daarbij uitkijken dat andere werknemers niet onnodig ook gemonitord worden. Zo mocht een vervoersbedrijf van de rechter niet zomaar al haar medewerkers heimelijk filmen omdat er klachten waren van klanten over enkele chauffeurs.

De privacywet is alleen van toepassing wanneer bij het monitoren gegevens van individuele gebruikers worden vastgelegd en voor de werkgever toegankelijk gemaakt worden. Geanonimiseerd monitoren of geautomatiseerd ingrijpen op basis van metingen is privacytechnisch nooit een probleem. Wel is het bij ongebruikelijke vormen van monitoren verstandig om te melden dat dit gebeurt.

Zo mag een bedrijf van de privacywet elke mail van of naar een medewerker scannen op virussen, en zelfs gedetecteerde virussen automatisch verwijderen of de mails in een aparte mailbox plaatsen. Bij dergelijk handelen krijgt immers geen mens zelf de mail te zien, en medewerkers kunnen zelf nagaan wat er gebeurt. De privacy van de medewerkers blijft dan gewaarborgd. Zouden twijfelachtige mails worden doorgestuurd naar een manager voor handmatige controle, dan ontstaat wel een privacyschending.

Blokkeren

Een alternatief voor controleren is blokkeren. Zo kan het installeren van software door werknemers technisch onmogelijk gemaakt worden. Voor het werk niet relevante sites (zoals Hyves) kunnen op een zwarte lijst worden gezet zodat werknemers daar niet bij kunnen. Ook kan men het installeren van ongewenste software bemoeilijken. Dat is in principe toegestaan, omdat dit de privacy van werknemers niet raakt. Het kan natuurlijk wél kwaad bloed zetten: mensen willen even hun privémail bij Gmail controleren of krabbelen dat het wat later wordt, en dat mag dan niet. Uit onderzoek blijkt ook dat beperkt privégebruik van internet de productiviteit juist positief beïnvloedt. Het al te streng blokkeren van websites of diensten lijkt dan ook niet echt raadzaam.

Een bedrijf moet wel nagaan hoe de verboden zich onderling verhouden. Een verbod op gebruik van Gmail in combinatie met verboden op het gebruik van de zakelijke mail voor privédoeleinden is bijvoorbeeld zeer dubieus. Zo is het onmogelijk om even snel een privémailtje te versturen, ook als dat geen enkel probleem zou moeten zijn (bijvoorbeeld de partner melden dat het later wordt vandaag).

Natuurlijk is zo’n blokkade te omzeilen. Door een proxy te gebruiken, kunnen werknemers sites bezoeken ondanks het filter. En door het administrator-wachtwoord te kraken, kan software worden geïnstalleerd terwijl dat niet de bedoeling was. Dergelijke handelingen zullen in het bedrijfsreglement over internetgebruik meestal verboden zijn, en soms zelf strafbaar (zoals het kraken van een wachtwoord). Wie een dergelijke regel overtreedt, hoeft bij de rechter op weinig sympathie te rekenen.

Geheimhouding voor systeembeheerder

De systeembeheerder of IT-afdeling kan technisch heel veel. Alle e-mail lezen, alle bestanden op netwerkschijven openen en met een beetje moeite zelfs meelezen met elke chatconversatie via bijvoorbeeld MSN. Dat mogen zij echter niet zomaar. Het Wetboek van Strafrecht verbiedt beheerders van een netwerk om opzettelijk en wederrechtelijk kennis te nemen van vertrouwelijke communicatie van gebruikers. Dit geldt zowel voor publieke netwerken als voor private netwerken (zoals bedrijfsnetwerken).

Berichten inzien mag alleen als dat strikt nodig is voor de goede werking van het netwerk. Denk bijvoorbeeld aan een mailserver die niet goed functioneert vanwege een e-mail met een gigantische bijlage. Dan zal de beheerder de mail moeten lezen om te kijken wat er aan de hand is. Hij is dan wel tot geheimhouding verplicht over de inhoud. Ook bij zaken als een abnormaal hoog dataverkeer is het natuurlijk toegestaan om te kijken wat dit veroorzaakt.

Doorzoeken van de bedrijfspc

Medewerkers kunnen ziek worden, op staande voet ontslag krijgen of om andere redenen niet beschikbaar zijn. Omdat het werk door moet gaan, is het dan vaak nodig toegang te krijgen tot diens computer of bestanden omdat alleen daar de benodigde informatie te vinden is. Daarbij speelt echter het probleem dat er ook informatie opgeslagen kan zijn die privé is. Denk aan privémails in de map ‘Verzonden’, of aan privéfoto’s gemaakt tijdens een dienstreis.

De werkgever dient zich in te spannen om niet nodeloos dergelijke gegevens te onderzoeken. Het is daarom een goed idee om werknemers aan te raden privébestanden in een aparte map te laten stoppen, die dan ook het woord ‘privé’ in de naam moet hebben. Zo weet de werkgever dat daar niets werkgerelateerds te vinden is. Voor mail kan ook een aparte map worden gehanteerd, of kan worden gekozen voor het woord ‘privé’ in de onderwerpregel. Ook dit helpt de werkgever onderscheid te maken.

Een andere manier om de privacy van de werknemer te bescher­men, is niet één persoon het doorzoeken uit te laten voeren, maar twee. Dit zouden bijvoorbeeld de beoogde vervanger van de werknemer en de privacy officer van het bedrijf kunnen zijn, of de afdelingschef en een lid van de OR. Bij twee personen is de kans klein dat zij gaan snuffelen in evident niet relevante bestanden.

Ook kan een bedrijf de regel hebben dat de secretaresse of collega geautoriseerd moet zijn tot het lezen van mail en/of kalender. Dit is toegestaan, mits ook hier een manier wordt verzonnen om de privacy te waarborgen. Zo bieden de meeste gedeelde kalenders (zoals Exchange) de mogelijkheid om afspraken als privé te markeren, waarna ze niet meer voor andere gebruikers van de gedeelde agenda leesbaar zijn, maar de beschikbaarheid an sich nog wel te achterhalen is.

Sancties bij overtreding

Wanneer een werkgever regels stelt via een protocol kan hij sancties verbinden aan het overtreden van deze regels, zoals een waarschuwing, schorsing of ontslag. De betreffende sanctie dient wel noodzakelijk en gepast te zijn bij de ongewenste situatie. Iemand meteen ontslaan is meestal geen gepaste maatregel bij overtreding van het reglement. Zeker voor werknemers met een goede staat van dienst zou een eenmalige overtreding geen ontslag, laat staan op staande voet, tot gevolg moeten hebben. Een waarschuwing of berisping is dan meer op zijn plaats. Gaat hij daarna verder met hetzelfde gedrag, dan behoort ontslag wél tot de mogelijkheden.

Toen internet nog een nieuw fenomeen was voor veel bedrijven, werd misbruik van de internetfaciliteiten streng bestraft. Enkel het bezoeken van een privésite kon al reden zijn voor ontslag, soms zelfs op staande voet. Tegenwoordig is de rechter lang niet meer zo makkelijk in het toekennen van een ontslag op dergelijke gronden.

Uit de rechtspraak blijkt dat de rechter vooral kijkt naar de schade die de werknemer aanrichtte en in hoeverre het invloed had op het werk. De hele dag gigabytes porno downloaden is duidelijk niet de bedoeling. Collega’s daarmee lastigvallen al helemaal niet. Ontslag op staande voet daarvoor is een gepaste remedie, zo vindt de arbeidsrechter. Maar op een rustig moment je privémail controleren of om half vijf op Buienradar kijken of je droog thuiskomt met de fiets doet niemand kwaad en kan en mag dus geen probleem zijn.

Maak met onze generator hier uw ict- en internetreglement voor 45 euro,-.

Meer weten over onze privacyadviezen & -diensten?

Dienst aanvraag

Meer weten? Laat een van onze juridische experts contact met u opnemen via het onderstaande formulier.

Soortgelijke onderwerpen

  • wolkje

    Cloud continuïteitsadvies

    Hoe pareert u de vraag “maar wat als mijn clouddienstverlener failliet gaat”? Met ons continuïteitsadvies weet u wat u te doen staat.

  • vergrootglas / audit

    Cookiecare

    Voor alle webwinkels en websites die gebruikmaken van cookies is het belangrijk om de privacyverklaring up-to-date te hebben en om een cookieverklaring te formuleren. Wij kunnen als onderdeel van onze dienst cookiecare identificeren welk soort cookies u gebruikt, hoe en of u toestemming moet vragen.