cover

Internetpolicies

Index
PDF
1 Inleiding
2 Controles en privacy op de werkplek
3 De Europese horizon
4 Regels voor de Internet-policy
5 De praktijk
6 Controles in het arbeidsconflict
7 Afsluiting

7. Afsluiting

7.1. De Internet-policy

Op basis van de Wbp, de jurisprudentie en de uitspraken van de Registratiekamer zijn regels gevonden voor het opstellen van Internet-policies. Uit een korte blik over de grens is gebleken, dat de regels elders in Europa niet veel afwijken van de ontwikkelingen in Nederland. Dat was ook niet te verwachten: de privacy-wetgeving is grotendeels gebaseerd op Europese richtlijnen.

In paragraaf 4.5 zijn de regels voor de Internet policy weergegeven. Het is gebleken, dat de manier van omgang met de policy net zo belangrijk is als de inhoud van de policy. In hoofdstuk 6 kwamen de bewijsrechtelijke aspecten van controles aan de orde. De belangrijkste aanbeveling voor de Internet-policy was dat een bewijsovereenkomst opgenomen kan worden. (1)

Voor de werkgever is het belangrijk te weten dat hij het recht heeft beperkingen te stellen aan het Internet-gebruik van zijn werknemers. In de Internet-policy kan hij aangeven wat de grenzen zijn. Dit kan betrekking hebben op het taalgebruik, het niet verspreiden van informatie, het niet-downloaden van software of het beperken van het privé-gebruik. Hij zal echter altijd een bepaald privé-gebruik moeten toestaan. De werkgever heeft bovendien het recht om controles uit te voeren zolang deze controles voldoen aan de proportionaliteitseis. Bij incidenten heeft hij het recht verdergaande controles uit te voeren; er dient dan wel een concrete verdenking te zijn.

Voor de werknemer is het belangrijk te weten dat hij gecontroleerd wordt. Uit de policy weet hij welke controles er plaatsvinden. Op basis van de gestelde grenzen zou een calculerend werknemer de keuze kunnen maken tussen het privé Internet-gebruik op het werk (besparing telefoonkosten) of thuis (grotere privacy). Een werknemer die bij deze keuze de aangekondigde controles meeweegt komt van de koude kermis thuis: bij incidenten mag de werkgever veel meer gegevens verzamelen en ook onrechtmatig verkregen gegevens over het Internet-gebruik zullen in een arbeidsconflict gewoon meegewogen worden. Een beroep op onrechtmatig verkregen bewijs zal zelden slagen.

Ook bewijs-technisch kan de Internet-policy voordelen bieden. Alle bewijs uit reguliere controles zal zonder problemen gebruikt kunnen worden. Ook verdergaande controle, mits aangekondigd in de Internet-policy, zal geaccpteerd worden. De discussie over de waarde van bepaalde computer-logs kan beperkt worden door een bewijsovereenkomst-clausule op te nemen.

7.2. Alternatieven

In deze scriptie is ervan uitgegaan, dat de werkgever de Internet-policy als instrument hanteert om Internet-gebruik te reguleren. Dat hoeft echter niet: er zijn verschillende alternatieve mogelijkheden. De meest voorkomende is waarschijnlijk: geen Internet. Een groot aantal middelgrote en kleine bedrijven is, ondanks de reclames van het Ministerie van Economische Zaken, nog steeds niet on-line. Andere bedrijven hebben alleen een server bij een provider staan en nemen daar een complete dienst, van ontwerp tot web-hosting, af. Uiteraard speelt het probleem van de privacy van de werknemer bij het gebruik van Internet hier in het geheel niet.

Een werkgever kan ook onbeperkte toegang tot het Internet toestaan, zonder controles. Deze variant ziet men wel in de academische wereld. De grenzen voor de werknemer zijn in dit geval de wettelijke grenzen, bijvoorbeeld de intellectuele eigendomsregels. Doordat het niet mogelijk is eigen grenzen te stellen, is dit alternatief voor het bedrijfsleven minder geschikt. Een werkgever zal in ieder geval invloed willen hebben op de uitstraling die zijn bedrijf op Internet heeft.

De KPN heeft ervoor gekozen om geen Internet-policy op te stellen. Door geen beperkingen op te leggen hoopt de KPN, via het Internet-gebruik, de kennis van de medewerkers te vergroten. Bij incidenten, zoals vastlopende systemen of het ontdekken van porno, valt de KPN terug op algemene CAO-bepalingen. (2) Een groot voordeel is, dat er geen controle-infrastructuur aangelegd en beheerd hoeft te worden. Het gebrek aan reguliere logging kan echter proces-rechtelijke consequenties hebben. (3)

7.3. Afsluitende opmerkingen

Een Internet-policy moet geen op zich zelf staand document zijn. De policy mag niet buiten de grenzen van de arbeidsovereenkomst of de CAO treden; daar buiten mag de werkgever geen beperkingen opleggen aan de werknemer. De bevoegdheid van de werkgever tot grenzen stellen vloeit namelijk voort uit artikel 7:660 BW dat de bevoegdheid beperkt zich tot binnen de grenzen van algemeen verbindende voorschriften, overeenkomst of reglement. Een Internet-policy zal zich ook moeten conformeren aan het algemene informatie-beveiligingsbeleid van het bedrijf. Het technisch deel van de beperkingen aan het Internet-gebruik zullen bepaald worden door dit beveiligingsbeleid.

Bij verdergaande controles moet een concrete verdenking zijn. In tegenstelling tot het strafrecht, waar een rechter toestemming moet geven voor inbreuken op de persoonlijke levenssfeer, is de werkgever zèlf gerechtigd deze beslissing te nemen. De werkgever stelt dus de regels op, bepaalt wanneer en hoe er gecontroleerd wordt en kan bovendien zelf de straf bepalen. (4) Gelukkig zijn er beperkingen. De belangrijkste beperking is dat de werkgever zich als goed werkgever moet gedragen. Doet hij dit niet, dan kan de werknemer zich tot de rechter wenden. De macht van de werkgever beperkt zich bovendien tot de arbeidssituatie. Een werknemer die zijn arbeidscontract opzegt, wordt bevrijd van de inbreuk die door de werkgever wordt gemaakt op zijn privacy. Voor de invoering van reguliere controles is bovendien toestemming van de Ondernemingsraad nodig. Door deze grenzen aan de macht hoeft het gebrek aan machtenscheiding geen probleem te zijn.

Herhaaldelijk is in deze scriptie aangegeven dat de rechtspraak, ondanks de inbreuk op de privacy, de resultaten van controles als bewijs accepteert in een ontslagzaak. Aan de andere kant blijkt een ontslag op staande voet vaak ongedaan gemaakt te worden. Zelfs bij een beveiligingstechnische doodzonde, zoals het downloaden van met virus besmette software (5) of het aanleggen van een eigen Internet-verbinding (6) is ontslag op staande voet niet goedgekeurd. Ook als de werknemer de verspeiding van porno via e-mail toegeeft blijkt de Kantonrechter de arbeidsovereenkomst te ontbinden wegens verandering van omstandigheden. (7)

7.4. Conclusie

Het is moeilijk om een eindconclusie te geven van een onderwerp dat zo in beweging is. Ook is er niet een vaste algemene maatschappelijke tendens te vinden. Als voorbeeld: enerzijds legt men steeds meer nadruk op de privacy, anderzijds worden steeds meer controles, zoals bijvoorbeeld camera-bewaking in openbare gelegenheden, geaccepteerd. Ook het beleid van de overheid is niet consistent: aan de ene kant wil zij e-mails, net als andere vormen van communicatie, besloten houden, aan de andere kant verplicht zij Internet Service Providers aftappunten te realiseren zodat de e-mail eenvoudig gelezen kan worden.

In de jurisprudentie vindt men een tendens naar meer respect voor de persoonlijke levenssfeer van de werknemer. Deze trend is echter niet zó duidelijk dat er harde conclusies aan verbonden kunnen worden. In een rechtszaak, waar de werknemer geconfronteerd wordt met de resultaten van de schendingen van zijn persoonlijke levenssfeer, mogen deze resultaten wèl tegen hem gebruikt worden. Een ontslag wegens dringende reden is echter zeldzaam; meestal wordt de arbeidsovereenkomst ontbonden wegens verandering van omstandigheden. De Nederlandse rechter lijkt de kool en de geit te willen sparen; hij maakt daardoor een onzekere indruk als het gaat om het Internet-gebruik.

Ook de techniek staat niet stil. Het gebruik van encryptie-technieken maakt het mogelijk om voor de werkgever onleesbare e-mail te versturen. De privacy is dan gegarandeerd tot het moment dat de werkgever de encryptie-sleutels heeft gekregen. Logging kan opgeslagen worden via "three handed games". Elk van de drie handen krijgt een deel van de informatie. Voor de reconstructie van het bericht zijn alle drie de delen nodig. Geen van de delen bevat voldoende informatie om de inhoud van het bericht te kennen. Een werkgever is dan nooit in staat om in zijn eentje de controles te initiëren. Partroon-herkenning en log-correlatie mechanismes maken de controles weer eenvoudiger. Het kost weinig moeite om alle e-mails met onwelvoeglijke termen erin op te sporen.

Wellicht de duidelijkste conclusie die getrokken kan worden is dat het probleem bij Internet-policies ligt bij het spanningsveld tussen de bevoegdheid van de werkgever en de privacy van de werknemer. Dit verklaart ook de aandacht voor Internet-policies: het onderwerp combineert de stijgende behoefte aan privacy op de werkplek met de hype van het Internet.

Een Internet-policy heeft een duidelijke functie. De policy stelt regels waar de werknemer zich aan moet houden. De policy zorgt ervoor dat de werkgever aan zijn verplichting voldoet om aan de werknemer aan te geven welke controles er plaatsvinden. Ook bewijsrechterlijk heeft de policy voordelen. Veel bedrijven zullen dan ook overgaan tot het opstellen van Internet-policies.

Eindnoten

(1) Zo kan in de policy een clausule opgenomen worden waarbij de log van de firewall als vaststaand wordt beschouwd waar het gaat om de vastlegging van het Internet-verkeer. In het aanvraagformulier voor een Internet-account geeft de werknemer aan zich te verenigen met de Internet-policy.

(2) En met name art. 1.5: Verplichtingen van de werknemer: (1) De werknemer is gehouden zijn functie naar behoren te verrichten en al datgene te doen of na te laten wat een goed werknemer behoort te doen of na te laten. (2) De werknemer is gehouden aan de door of namens de werkgever vastgestelde te zijner kennis gebrachte voorschriften, richtlijnen en aanwijzingen.

(3) Zie Kr Zwolle 18 november 1997, JAR 1998, 22.

(4) Volgens Montesquieu zouden deze drie bevoegdheden bij verschillende instanties moeten liggen. Montesquieu, L'esprit des lois XI: Des lois qui forment la liberté politique dans son rapport avec la constitution, Parijs: Gallimard, 1994, p. 396 e.v.

(5) Kr Zwolle, 18 november 1997, JAR 1998, 22.

(6) Kr Almelo, 30 september 1999, PRG 1999, 5365.

(7) Bijvoorbeeld Kr Haarlem 16 juni 2000, Computerrecht 2001/1, p. 37, 38 en Kr Apeldoorn 6 september 2000, Computerrecht 2001/1, p. 38, 39.