cover

Internetpolicies

Index
PDF
1 Inleiding
2 Controles en privacy op de werkplek
3 De Europese horizon
4 Regels voor de Internet-policy
5 De praktijk
6 Controles in het arbeidsconflict
7 Afsluiting

4. Regels voor de Internet-policy

4.1. Inleiding

Er zijn verschillende redenen waarom een werkgever het Internet-gebruik van zijn werkgevers zou willen reguleren:

  • Technische redenen. Een onbeperkte toegang van werknemers tot Internet-faciliteiten vergt investering in apparauur en netwerken.
  • Toezicht op het functioneren van de werknemer. Een werknemer die surft op Internet is niet (altijd) bezig met de werkzaamheden waarvoor hij betaald wordt.
  • Wettelijke noodzaak. Als een werknemer bijvoorbeeld racistische teksten of pornografie via e-mail verspreidt, kan een werkgever er onder omstandigheden aan gehouden zijn maatregelen te nemen ter voorkoming van deze gedragingen. (1)
  • Ter voorkoming van aanspraken Het kan hierbij gaan om aanspraken van zowel derden als andere werknemers.
  • Ter voorkoming van imago-schade. Het taalgebruik en de inhoud van e-mail kunnen bepalend zijn voor het imago van een bedrijf.

Het gebruik van een Internet-policy maakt aan werknemers duidelijk welke grenzen er aan het gebruik van het Internet gesteld worden. Omdat er een duidelijke relatie met de privacy van de werknemer is, moet zo'n policy aan verschillende eisen voldoen. Deze eisen zijn te splitsen in inhoudelijke eisen (wat mag er gecontroleerd worden) en eisen aan de omgang met de policy (publicatie, inspraak en dergelijke).

In dit hoofdstuk zullen, naast de eerder gevonden regels bij de verkenning van de privacy van de werknemer, de richtlijnen van de Registratiekamer onder de loep worden genomen. Ook zal weer een korte blik op de Europese horizon worden gegeven.

4.2. Techniek-onafhankelijkheid of niet?

De hiervoor bestudeerde technieken zijn conventionele manieren om de werknemer te monitoren. De Commissie Grondrechten in het digitale tijdperk heeft ervoor gekozen om de grondrechten techniek-onafhankelijk te formuleren. De Commissie meent dat alleen een techniek-onafhankelijke formulering de tijd kan bij houden. (2)

Doordat alles op Internet zich in de wereld van de 'bits' afspeelt, (3) is het relatief eenvoudig om een hoge mate van controle uit te oefenen. Sterker: het loggen van gegevens is inherent aan het gebruik van moderne computers. Elke toegang tot Internet levert mogelijkheden tot logging op. In de meeste bedrijven zullen firewalls en proxies staan. Deze zijn gewoonlijk zo geconfigureerd dat er vele gigabytes logging per dag gegenereerd worden. In deze logs staat, naast de inbraakpogingen vanaf het Internet, uiteraard ook het browse- en e-mail-gedrag van de werknemers.

Met de huidige prijzen van harde schijven zijn bovendien de kosten van het loggen en het on-line houden van de log verwaarloosbaar. Ook de kosten van extra apparatuur zijn vele malen lager dan van bijvoorbeeld video-observatie. Uit de logs worden verschillende uittreksels gemaakt zoals:

  • Lijsten van aanvallen van buiten (bijvoorbeeld portscans of denial of service-attacks);
  • Performance gegevens over de netwerkcapaciteit en de computercapaciteit van bijvoorbeeld de firewall of
  • Beschikbaarheidsrapportages.

Het is zonder meer mogelijk om rapportages te genereren over de meest bezochte sites, de sites met explicit content, al dan niet met de namen van de werknemers die deze sites bezocht hebben. Ook kan per gebruiker een rapport van zijn activiteiten gemaakt worden.

In tegenstelling tot de conventionele controletechnieken, zoals afluisteren en cameratoezicht, is het dus mogelijk om uit een grote stroom data werkelijke informatie te krijgen over het gedrag van werknemers. Dergelijke rapportages kunnen door ervaren systeembeheerders met relatief weinig inspanning gegenereerd worden. (4) Technisch gezien is de controle op Internet-gebruik dus eenvoudiger, gedetailleerder en goedkoper dan de conventionele controles.

Dit geeft echter geen aanleiding voor een ander privacy-beleid wanneer het gaat om Internet-toegang; het onderstreept veeleer de noodzaak de grenzen aan de controle duidelijk te stellen.

Bepaalde technieken leveren wel extra gevaren op. Zo levert e-mail met attachments bij sommige mail-lezers (5) het verspreidingsrisico van virussen op. Wanneer men ongecontroleerde programma's via FTP downloadt kan men ook virussen verspreiden of zelfs de computer voor hackers toegankelijk maken. Dit betekent dat elke techniek zijn eigen gevaren meebrengt en dat voor elke techniek een aantal eigen regels zal gelden.

Het moge onderhand voldoende bekend zijn dat privacy op het Internet nauwelijks bestaat. (6) De volgende lijst geeft een, overigens verre van uitputtende, opsomming van manieren weer waarop men zonder maatregelen zijn privacy op Internet prijsgeeft:

  • Het openstellen van Windows-shares op de eigen computer. Veel PC's, met name privé-installaties, laten onbeperkte toegang tot de gegevens op de harde schijf vanaf het Internet toe. (7)
  • Wanneer men cookies in de browser accepteert, schept men de mogelijkheid voor aanbieders om deze cookies uit te lezen. Hierdoor is het geen probleem om de voorkeuren van een Internet-gebruiker te achterhalen.
  • E-mail gaat langs een groot aantal tussenliggende computers en netwerken. (8) Alleen door encryptie kan men garanderen dat geen van de tussenliggende partijen het bericht inziet. Toch is het versleutelen van e-mail niet gebruikelijk.
  • Wanneer men mail aan verschillende personen stuurt, komen de adressen van al deze personen in de header te staan. Niet iedereen met wie gecorrespondeerd wordt, hoeft het op prijs te stellen dat alle andere ontvangers ook zijn e-mail adres krijgen.
  • In toenemende mate worden bijdragen aan, ook serieuze, discussie-groepen geanonimiseerd. Als men dit niet doet is levert men weer wat privacy in. (9)

Wanneer men zich zo gedraagt, kan men niet spreken van een reasonable expectation of privacy. De persoonlijke informatie, die zo kwistig wordt rondgestrooid, wordt door veel bedrijven en instellingen verzameld en geadministreerd. In Europa gelden er regels voor het aanleggen en verwerken van dergelijke administraties, buiten Europa is de regelgeving duidelijk minder scherp.

Wanneer zoveel bedrijven informatie over het surfgedrag en het overige Internet-gebruik verzamelen, waarom zou de werkgever dit niet mogen? Het antwoord ligt mijns inziens deels in de aard van de sociale verhoudingen. Een werkgever heeft ten opzichte van de werknemer een machtspositie. Juist deze machtspositie maakt het noodzakelijk dat de werkgever bepaalde grenzen niet overschrijdt.

In Nederland bestaat sterk de neiging om de privacy als een absoluut recht te zien, onafhankelijk van technieken. Deze wens komt nadrukkelijk ook tot uiting in het Rapport van de Commissie grondrechten in het digitale tijdperk. In de huidige Grondwet is deze techniek-onafhankelijkheid nog niet gerealiseerd.

Er is bovendien een verschil tussen de Grondwet en een bedrijfspolicy. Een bedrijfspolicy is relatief snel op te stellen. De, door werkgevers als langdurig ervaren, procedures van consultatie en instemming van de Ondernemingsraad zijn vele malen eenvoudiger dan de wijziging van de Grondwet. Ook staat het management van bedrijven, hoe a-technisch het ook is, dichter bij de techniek dan politici, waardoor het traject vereenvoudigd wordt.

Het heeft echter geen zin om de werknemers te overladen met boekwerken vol regels. Als voor elke communicatietechniek aparte regels en controles gelden, dan ziet de werkgever door de bomen het bos niet meer. Controles vinden dan plaats zonder medeweten van de werknemer, wat strijdig is met de Europese Richtlijn voor beeldschermmedewerkers. (10) Ook wordt het moeilijker om een begrijpelijk overzicht te geven van de verzamelde persoonsgegevens. (11)

Ook is het moeilijk uit te leggen, waarom privé-telefoontjes wel toegestaan zouden zijn, maar privé-e-mails niet. Als er grote verschillen zijn tussen de toepassingsregels van de verschillende communicatie-technieken, dan krijgt men een technologie-vlucht van een verboden techniek naar een geoorloofde, bijvoorbeeld van e-mail naar telefoon. Het kosten-aspect hiervan hoeft niet altijd gunstig voor de werkgever te zijn. Een technologische afhankelijkheid van de regels werkt dus contraproductief. (12)

Bij elke vorm van communicatie geeft men iets van zijn privacy prijs. Ook loopt men bij elke vorm van communicatie het risico dat derden, zoals de werkgever, op de hoogte raken van de communicatie.

Bedrijven gebruiken voor de keuze van communicatiekanalen vaak een data-classificatie. Zo zullen niet-geheime gegevens makkelijk via een e-mail verstuurd kunnen worden en mogen zeer geheime gegevens alleen persoonlijk afgegeven worden. Intuïtief doet men in zijn privé-leven hetzelfde: bepaalde communicatie gaat in een gesloten enveloppe, andere mag op de achterkant van een prentbriefkaart. Door de keuze van de wijze van verzending bepaalt men zijn behoefte aan beslotenheid. Zo zou een werknemer zijn privacy-verwachting moeten afstemmen op zijn gebruik van encryptie, de keuze om vanuit huis of vanuit werk te mailen, enzovoorts.

Omdat alle verschillende communicatiemogelijkheden hun eigen risico's en kosten met zich meebrengen, zal een gedeelte van de policy techniek-afhankelijk zijn. Een groot deel, met name waar het de privacy van de werknemer betreft, zal techniek-onafhankelijk kunnen blijven.

4.3. De Registratiekamer

In een recent rapport heeft de Registratiekamer, onder andere op basis van een bijeenkomst van experts, regels geformuleerd voor het gebruik van Internet. (13) Zij komt daarbij tot een uitgebreidere set regels dan op basis van de andere controles (mee- of afluisteren, camera-toezicht) verwacht mocht worden.

Een nadere analyse van de additionele regels geeft ons daarvoor drie redenen:

  • De zorg voor de beheersmatige aspecten: de integriteit van de systeembeheerder, het bestaan van backups.
  • De mogelijkheden die de techniek biedt: het zoveel mogelijk softwarematig onmogelijk maken van misbruik, anonimisering ten behoeve van gebruiksstatistieken, vaststellen welke software gebruikt mag worden, het scheiden van zakelijke mail en privé-mail.
  • Additionele inzichten of aspecten die blijkbaar tot op heden tot weinig problemen aanleiding hebben gegeven: het bieden van inzicht in de gegevens, evaluatie van de regels, het ontzien van geprivilegieerde informatie.

Het rapport van de Registratiekamer wekt de indruk in de haast in elkaar gezet te zijn. Delen van de tekst zijn letterlijk gecopieerd uit andere stukken. Verder maakt het rapport, ook wat structuur betreft, weinig indruk. De opmerkingen en adviezen zijn blijkbaar gebaseerd op een 'expert-meeting'.

De Registratiekamer heeft daarnaast ook een aantal uitspraken gedaan die een indruk geven van de regels die de Registratiekamer hanteert. Als een computerbedrijf zijn werknemers voorhoudt dat het gerechtigd is om alle e-mails te openen for any purpose en stelt dat de werknemers geen reasonable expectation of privacy hebben bij het gebruik van e-mail, constateert de Registratiekamer dat dit in strijd is met de WPR. (14) In ieder geval dient het doel van de registratie aangegeven te worden, zodat de redelijkheid van het belang van de werkgever getoetst kan worden (proportionaliteit). Voorts wijst de Registratiekamer op de noodzaak van transparantie en op het instemmingsrecht van de ondernemingsraad. (15)

In Computerrecht wordt een uitspraak van de Registratiekamer vermeld, waarbij onder voorwaarden het openen van e-mails bij een incident is toegestaan. (16) Na de melding van het incident (het ontvangen van ongewenste e-mails met pornografisch materiaal) werd op een vaste peildatum alle e-mail met attachment geopend om vast te stellen of het een programma, filmpje of plaatje bevatte. Overige e-mails werden niet geopend, tenzij de titel aangaf dat het om pornografisch materiaal ging. Een dergelijke werkwijze werd door de Registratiekamer behoorlijk en zorgvuldig genoemd. Daarbij heeft de Registratiekamer de belangen van de werkgever, namelijk de controle op misbruik, afgewogen tegen de inbreuk die een dergelijke controle op de persoonlijke levenssfeer van de werknemers heeft.

Als een korpschef aan de Registratiekamer vraagt of hij naar aanleiding van een incident (e-mailberichten die gezien hun inhoud door met name vrouwelijke collegae als intimiderend en ongewenst worden beschouwd) verdergaande controle op het e-mail gebruik mag uitvoeren, stelt de Registratiekamer een aantal eisen aan het onderzoek. (17) Allereerst moet er een concrete verdenking zijn, er mag geen minder ingrijpende weg open staan en de gevonden gegevens mogen niet buiten het onderzoek gebruikt worden. De Registratiekamer stelt dus de eis van proportionalieit, waarbij zij stelt, dat voor zo'n inbreuk op de privacy een groot werkgeversbelang nodig is dat bovendien op geen andere wijze gerealiseerd kan worden.

Uit de uitspraken blijkt dat de Registratiekamer let op de proprotionaliteit, de beperking van het gebruik van de gegevens tot het aangegeven doel, de transparantie en het instemmingsrecht van de Ondernemingsraad.

4.4. Internet-regels elders in Europa

In andere landen van Europa wijken de adviezen alleen op nuances af als het gaat om het stellen van regels voor het Internet-gebruik. Het duidelijkst zijn de regels uit de draft van de Employment COP. (18) De Engelse Data Protection Commissioner geeft regels die gelden voor alle vormen van monitoring. Voor Internet-gebruik, met name e-mail en web-browsen, worden specifieke regels gegeven. In Engeland wordt in het geval van het gebruik van Internet-diensten, nog meer dan bij andere communicatie-vormen, een duidelijke scheiding aangebracht tussen de communicatie voor zakelijke doeleinden, die wellicht eventueel zou mogen worden gemonitord, en de privé-communicatie, die ontzien moet worden.

In Frankrijk is de discussie over het volgen van Internet-gebruik in een onderneming in volle gang. De CNIL heeft recentelijk een discussiestuk opgeleverd (19) waarin de privacy van de werknemer aan de orde wordt gesteld. Het discussie-stuk is geen vertaling van de privacy-regels op ander gebied, maar probeert wel een algemeen geldende norm te geven. Er worden drie grenzen aan de controle door de werkgever gesteld:

  • La transparence et la loyauté: de verplichting om te melden welke registraties en controles de werkgever uitvoert en ook alleen die controles uit te voeren.
  • La proportionnalité: er dient een afweging gemaakt te worden tussen de belangen van de werkgever enerzijds en het recht op privacy anderzijds.
  • La discussion collective: vanwege de afhankelijke positie van de werknemer is het van belang dat de discussie met de werkgever niet door individuele werknemers gevoerd hoeft te worden.

Alleen de proportionaliteitseis stelt grenzen aan de inhoud van de policy; de overige twee eisen geven aan hoe er met de policy omgegaan moet worden.

In België onderscheidt de Commissie voor de bescherming van de persoonlijke levenssfeer ook drie grenzen aan de controlebevoegdheid van de werkgever op het IT-gebruik door de werknemer: (20)

  • Transparantie: voor de werknemer moet het duidelijk zijn welke regels er gelden. Daarbij dienen de volgende aspecten aan de orde te komen:
    • in hoeverre privé-gebruik is toegestaan,
    • hoe gecontroleerd wordt,
    • of er een opslag van de gegevens plaatsvindt en wat de bewaartermijn van de gegevens is,
    • welke beslissingen de werkgever kan nemen op basis van deze gegevens en
    • het recht van toegang van de werknemer tot de gegevens.

Een groot deel van de discussie zal zich afspelen in de collectieve sfeer, dus niet met de werknemers afzonderlijk.

  • Proportionaliteit: iedere controle moet steunen op een aanwijzing dat er misbruik van de werkinstrumenten wordt gemaakt. De Commissie maakt hierbij een onderscheid tussen e-mail en het raadplegen van Internet-sites. Voor e-mail verkeer is het kennisnemen van de inhoud, behalve bij incidenten, altijd disproportioneel. Wel is het mogelijk om verkeersgegevens bij te houden. Het raadplegen van Internet-sites mag ook niet permanent gemonitord worden.Wel is het toegestaan om afwijkend gedrag vast te stellen op basis van bijvoorbeeld geraadpleegde sites of keywords.
  • Gelimiteerde bewaartermijn. de gegevens mogen niet langer bewaard worden dan noodzakelijk is voor de controles. De Commissie doet geen aanbeveling voor een maximale bewaartermijn.

4.5. De regels voor een Internet-policy

De uiteindelijke keuze voor een Internet-policy is een keuze van de werkgever in overleg met de Ondernemingsraad. Men zal er niet aan kunnen ontkomen om bepaalde regels en beperkingen te stellen. En waar regels gesteld worden, moet controle plaatsvinden.

Bij de vaststelling van de regels is er onderscheid gemaakt tussen de inhoud van een Internet-policy en de wijze waarop er mee omgegaan moet worden. Uit een korte blik op wat in andere Europese landen plaatsvindt, valt te concluderen dat de gevonden regels niet of nauwelijks aangepast hoeven te worden aan de rechtssystemen van andere landen.

  1. Enige vorm van privé-gebruik door de werknemer moet toegestaan worden. Dit volgt uit het arrest Halford/UK (21) en uit Niemietz/Duitsland. (22)
  2. De werkgever kan beperkingen aan het Internet-gebruik van de werknemer stellen. Dit volgt uit artikel 7:660 BW. De Registratiekamer verwoordt dit als:"In werktijd geniet men niet dezelfde vrijheden als daarbuiten". Uit de policy moet duidelijk blijken welke beperkingen en regels er gesteld worden.
  3. Wanneer de werkgever controles uitvoert, moet hij een duidelijk doel hebben voor het registreren van het Internet-gedrag van de werknemer. Dit doel moet uit de policy blijken. Artikel 7 Wbp stelt deze eis van doelbinding.
  4. De controles door de werkgever moeten in verhouding staan tot het doel wat hij probeert te bereiken. Er moet een afweging plaatsvinden tussen het bedrijfsbelang en het recht op privacy van de werknemer. Deze eis van belangenafweging volgt uit artikel 8, sub f Wbp.
  5. Er is een maximale bewaartermijn van de loggegevens. Dit volgt uit artikel 10 lid 1 Wbp. Deze termijn moet in de policy vermeld staan.
  6. De policy behoeft instemming van de Ondernemingsraadingsraad. De reden hiervoor is dat de Internet-policy een controlebevoegdheid aan de werkgever geeft waarmee hij de persoonlijke levenssfeer van de werknemer inperkt. Artikel 27 lid 1, sub k en l geeft de Ondernemingsraad in dergelijke gevallen instemmingsrecht.
  7. De policy moet bekend zijn bij alle werknemers die het aangaat. Hier speelt een element van rechtszekerheid mee, maar ook artikel 7:660 BW stelt deze eis.
  8. De werkgever moet de policy loyaal uitvoeren, ook waar het beperkingen aan de controlebevoegdheid stelt. Dit volgt niet alleen uit de eis van goed werkgeversschap, maar ook uit artikel 9 lid 1 Wbp.
  9. De controle moet in principe bij de Registratiekamer aangemeld worden.
  10. Bij incidenten mag een verdergaande controle plaatsvinden. Daarbij moet sprake zijn van concrete verdenkingen. De gegevens van de extra controles moeten vernietigd worden zodra ze geen relevantie meer hebben voor het onderzoek. Dit volgt uit artikel 43 Wbp.
  11. Waar mogelijk, moet geprobeerd worden misbruik technisch onmogelijk te maken.

De gevonden regels zijn bewust beperkt gehouden tot het gebruik van Internet door werknemers als eindgebruiker. Dit is namelijk de situatie waar de meeste werknemers zich in bevinden. Naast deze eindgebruikersfunctie zijn er verschillende andere manieren van Internet-gebruik te onderscheiden zoals bijvoorbeeld:

  • Het plaatsen van een http- of ftp-server. In dergelijke gevallen spelen aspecten als het imago van het bedrijf, respect voor copyrights en dergelijke een grotere rol dan in de hier voorgestelde policy.
  • Het maken van een extra connectie naar het Internet, zoals bijvoorbeeld in Wierdens/Kunst gedaan werd. (23)

Veel bedrijven verbieden expliciet, overigens buiten hun Internet-policy om, dergelijke handelingen. Zij vallen dan terug op een algemene bedrijfspolicy over computer- en netwerkbeveiliging. Ook in deze algemene policies worden er grenzen aan het gedrag van de werknemers gesteld. En ook daar worden controlemogelijkheden aangegeven waarbij de privacy van de werknemer in het geding kan zijn. De behandeling hiervan in het kader van deze scriptie zou echter te ver gaan.

Eindnoten

(1) Vergelijk HR 16 december 1986, NJ 1987, 321 (Slavenburg II), waarin gesteld wordt dat van feitelijk leidinggeven aan verboden omstandigheden sprake kan zijn als "de desbetreffende functionaris - hoewel daartoe bevoegd en redelijkerwijs gehouden - maatregelen ter voorkoming van deze gedragingen achterwege laat en bewust de aanmerkelijke kans aanvaardt dat de verboden gedragingen zich zullen voordoen".

(2) Grondrechten in het digitale tijdperk, p. 4.

(3) Nicholas Negroponte stelt de wereld van de bits tegenover de wereld van de atomen (Nicholas Negroponte, Being Digital, London: Hodder and Stoughton, 1995).

(4) Hiervoor zijn zelfs speciale tools en computertalen ontwikkeld zoals SAS (Statistics Application System), PERL (Practical Extraction and Report Language), Python, awk (Aho, Weinberger, Kernighan).

(5) Met name Microsoft Outlook.

(6) La Commission Nationale de l'Informatique et des Libertés heeft op haar web-site een aardige demonstratie www.cnil.fr

(7) Sommige ISP's, zoals XS4all, blokkeren dit verkeer, omdat zij het een te groot risico voor onnadenkende klanten vinden.

(8) Ter illustratie: een e-mail van mijn privé-adres naar de universiteit gaat via de netwerken van XS4all, UUnet, SURFnet en de universteit.

(9) Overigens is de inhoud van het bericht sowieso openbaar. Maar het feit dat men een bijdrage geeft aan bijvoorbeeld alt.support.aids.partners hoeft nìet algemeen bekend te zijn.

(10) Art. 3, sub b, bijlage bij Richtlijn 90/270/EEG, 11-3-1999 stelt: "[..] er mag zonder medeweten van de werknemers geen gebruik worden gemaakt van een kwantitatief of kwalitatief controlemechanisme"

(11) Art. 35 lid 2 Wbp.

(12) De Registratiekamer beveelt dan ook aan: "Behandel zaken online op dezelfde manier als offline" (Goed werken in netwerken).

(13) Goed werken in netwerken, hoofdstuk 5.

(14) Registratiekamer, 24 juni 1999.

(15) Deze noodzaak, vastgelegd in art. 27 lid1, sub k en l WOR, is ook in §2.2 aan bod gekomen.

(16) J.P.R. Bergfeld (ed.), Controle e-mailverkeer door werkgever, Computerrecht 2000/2, p. 109. Het is vervelend dat de schrijver van het artikel geen referentie van de uitspraak van de Registratiekamer geeft.

(17) Brief van de Registratiekamer d.d. 14 oktober 1997, gepubliceerd in Computerrecht 1998-5, p.252.

(18) The use of personal data in empoyer/employee relationships, Draft Code of Practice issued for consultation by the Data Protection Commisioner, oktober 2000.

(19) Bouchet

(20) Commissie voor bescherming van de persoonlijke levenssfeer, Advies uit eigen beweging betreffende het toezicht door de werkgever op het gebruik van het informaticasysteem op de werkplaats, nummer Z00433_1, 3 april 2000.

(21) EHRM 25 juni 1997, NJ 1998, 506.

(22) EHRM 16 december 1992 , NJ 1993, 400.

(23) Kr Almelo, 30 september 1999, PRG 1999, 5365.