Publicaties
		Goed werken in netwerken - Regels voor controle op e-mail en internetgebruik van werknemers Voorwoord Het gebruik van e-mail en internet heeft binnen organisaties een grote vlucht genomen. Naast de evidente voordelen voor zowel werkgever als werknemer zoals productiviteit, bereikbaarheid en snelheid hebben ook de negatieve kanten van deze media zich gemanifesteerd. Werkgevers hebben derhalve behoefte om het voorheen vrijblijvende gebruik van e-mail en internet in goede banen te leiden. Daarvoor worden gedragscodes en gebruiksregels opgesteld, die ook middels controle worden gehandhaafd. Elektronische controle van computergebruik roept vragen op met betrekking tot de bescherming van de persoonlijke levenssfeer van de werknemer. Een groot aantal werkgevers, ondernemingsraden en individuele werknemers heeft deze vragen in het afgelopen jaar voorgelegd aan de Registratiekamer. De Registratiekamer heeft daarom een studie verricht naar de controle op e-mail- en internetgebruik. Dit heeft geresulteerd in dit rapport Goed werken in netwerken. Met voorbeelden en praktijkgevallen worden allereerst de feitelijke en juridische achtergronden van de problematiek geschetst. Daaruit vloeit een set vuistregels voort die de werkgever een handvat biedt om een behoorlijk en zorgvuldig beleid vast te stellen. Het mag voor zich spreken dat de regels ook hun nut zullen hebben voor ondernemingsraden en individuele werknemers als het gaat om de beoordeling van het werkgeversbeleid en de consequenties daarvan voor hun privacy. mr. P.J. Hustinx Voorzitter van de Registratiekamer Inhoud Voorwoord 1 Inleiding 2 Controle door de werkgever 2.1 Toegang tot internet 2.2 Vormen van internet 2.2.1 E-mail 2.2.2 World Wide Web 2.2.3 FTP 2.2.4 Usenet 2.2.5 Chat 2.3 Content-filtering 2.4 Telewerken 2.5 Conclusie 3 Juridisch kader 3.1 Inleiding 3.2 Grondrechtelijk kader 3.3 Strafrechtelijk kader 3.4 Arbeidsrechtelijk kader 3.4.1 Burgerlijk wetboek 3.4.2 Arbeidsomstandighedenwetgeving 3.4.3 Wet op de ondernemingsraden 3.5 Wet bescherming persoonsgegevens (WBP) 3.5.1 Persoonsgegevens 3.5.2 Verwerking 3.5.3 Verantwoordelijke 3.5.4 Verzamelen / verwerken 3.5.5 Gebruik 3.5.6 Rechten en plichten 3.5.7 Melden of niet? 3.6 Telecommunicatiewet 3.7 Uitspraken van de rechter 3.8 Uitspraken van de Registratiekamer 4 Vuistregels 4.1 Algemeen 4.1.1 Online / off line 4.1.2 Ondernemingsraden 4.1.3 Publiceren regels 4.1.4 Priv�-gebruik 4.1.5 Softwarematige oplossingen 4.1.6 Rapportages en gebruiksstatistieken 4.1.7 Back-up 4.1.8 Systeembeheerder 4.1.9 Bespreking met werknemer 4.1.10 Inzage 4.1.11 Evaluatie van regels 4.2 E-mail / internet 4.2.1 Zakelijke mail / priv�-mail 4.2.2 Doeleinden en beperkingen 4.2.2.1 Begeleiding / beoordeling 4.2.2.2 Bewijs / archief 4.2.2.3 Systeem- en netwerkbeveiliging 4.2.2.4 Bedrijfsgeheimen 4.2.2.5 Negatieve publiciteit 4.2.2.6 Seksuele intimidatie 4.2.2.7 Naleving regels 4.2.2.8 Kosten- / capaciteitsbeheersing 4.2.3 Maatwerk in controles 4.2.4 Loggingen en bewaartermijnen 4.2.5 Geprivilegieerde informatie Hoofdstuk 5 Beknopt overzicht vuistregels Bijlage Deelnemers expert-meeting 1 Inleiding Gedurende de tweede helft van de jaren negentig heeft het gebruik van de elektronische snelweg ingang gevonden als medium voor communicatie. E-mail is een snelle en doorgaans betrouwbare manier om iemand ergens van op de hoogte te stellen en op het World Wide Web (WWW) kan op een eenvoudige en snelle wijze informatie worden ontsloten die daarvoor moeilijk toegankelijk was. Ook binnen bedrijven heeft de elektronische snelweg opritten gekregen. Meer en meer werknemers hebben via de computer op hun bureau aansluiting op e-mail en internet. Veelal loopt deze aansluiting via het interne netwerk van de werkgever. Daarmee vervaagt ook het verschil tussen communicatie op het interne netwerk en via externe verbindingen. Bij het gebruik van een intranet binnen een organisatie is er zelfs geen zichtbaar verschil meer tussen 'binnen' en 'buiten'. Deze nieuwe technologie�n kennen ook schaduwzijden. Werknemers zijn van hun werktijd tegenwoordig een flink deel kwijt aan het maken, lezen en beantwoorden van e-mail en het zoeken naar relevante websites op het internet. Werkgevers ervaren priv�-gebruik van de internetfaciliteiten als productiviteitsverlies. Daarnaast worden e-mail en internet ook en soms vaak voor priv�-doeleinden gebruikt. Even een nieuwtje laten weten aan je beste vriend(in), een geschikte vakantiebestemming zoeken, de laatste hits van je favoriete artiesten of de nieuwste drivers voor je computer thuis downloaden. De internettechniek maakt snelle en grenzeloze communicatie mogelijk. Werkgevers zijn bevreesd voor oneigenlijk gebruik van deze nieuwe middelen. Er zitten immers soms grote risico's aan verbonden. Zo kunnen virussen de computers beschadigen en zelfs hele computernetwerken lamleggen, liggen hackers op de loer, kunnen bedrijfsgeheimen uitlekken en kan de goede naam van het bedrijf in diskrediet raken als een werknemer zich via een bedrijfsaccount inlaat met online gokken, (kinder)porno, discriminatie of inbreuken op auteursrechten. Door het gebruik van computers hiervoor zijn de controlemogelijkheden (achteraf of real-time) voor de werkgever groter dan het geval zou zijn als de werknemer hier meer conventionele (off line) middelen zou gebruiken. In de ogen van sommige werkgevers is er voor privacybescherming op het werk weinig of geen ruimte. Werknemers beschouwen controle door de werkgever als een inbreuk op hun persoonlijke levenssfeer. Controle op het gebruik van computersystemen is voor de werknemer immers onzichtbaar en is veelal continu aanwezig. Zij beroepen zich er op dat ook op de werkplek het recht op privacy geldt. Daarnaast beschouwen veel werknemers het priv�-gebruik van bedrijfsfaciliteiten als een soort arbeidsvoorwaarde. Hier kan een vergelijk gemaakt worden met de telefoon of een auto van de zaak. In tegenstelling tot deze (bedrijfs)middelen bestaat er in veel bedrijven (nog) geen beleid voor het gebruik van e-mail- en internet voor priv�-doeleinden. De verdergaande vervlechting tussen werk en priv� (met name telewerken en mobiel werken) werkt het priv�-gebruik van bedrijfsfaciliteiten in de hand en wordt daarvoor soms ook als rechtvaardiging gezien. De Kantonrechter Haarlem sprak in dat verband reeds van "priv�tisering van de werkplek" (zie hierna pagina 24). Dit rapport is bedoeld als handreiking voor werkgevers en werknemers bij de formulering van een bedrijfsbeleid ten aanzien van de controle van e-mail- en internetgebruik door werknemers op een vanuit het oogpunt van privacybescherming verantwoorde wijze. Allereerst zal in hoofdstuk 2 aan de hand van achtergronden en feiten de problematiek van e-mail en internet op de werkvloer worden belicht. Een aantal begrippen en verschijningsvormen van internet worden toegelicht. Vervolgens wordt in hoofdstuk 3 het juridisch kader geschetst waarbinnen controle mogelijk is. Zowel vanuit privacyrechtelijk als vanuit arbeidsrechtelijk perspectief zullen de grenzen worden aangegeven. In hoofdstuk 4 worden vuistregels geformuleerd aan de hand waarvan een zorgvuldig e-mail- en internetbeleid kan worden geformuleerd en getoetst. Deze vuistregels zijn in hoofdstuk 5 nog eens kort samengevat. 2 Controle door de werkgever In dit hoofdstuk zal worden ingegaan op diverse begrippen uit de wereld van internet. Om het gebruik van internet en de controle daarop te kunnen begrijpen, zullen eerst in het kort de diverse verschijningsvormen van internet worden beschreven. Daarbij wordt per vorm aangegeven welke risico's eraan kleven en op welke manier controle kan plaatsvinden. Er is voor gekozen om alleen d�e vormen van Internet aan de orde te stellen die op het moment van schrijven de belangrijkste toepassingen zijn van de Internettechniek. De regels die aan de orde komen zijn uiteraard van overeenkomstige toepassing op oude toepassingen (bijvoorbeeld Telnet) en op - toekomstige - nieuwe toepassingen (Voice-over-IP, WAP). 2.1 Toegang tot internet Veel organisaties bieden hun werknemers e-mail- en internetfaciliteiten via het bedrijfsnetwerk. Een van de servers fungeert als schakel tussen het interne netwerk en het externe internet. Dit betekent dat al het dataverkeer tussen de PC van de werknemer en het internet de centrale server van de organisatie passeert. Het is voor de werkgever betrekkelijk eenvoudig om op de server controle-software te laten draaien of berichten te onderscheppen. Het is ook mogelijk dat de werknemer toegang tot het internet verkrijgt via een stand-alone computer waarmee rechtstreeks bij een Internet Service Provider (ISP) wordt ingebeld. Bij deze vorm van toegang zit geen extra schakel waarop controlesoftware kan draaien. Eventuele controlemiddelen zullen in dat geval op de PC zelf moeten worden ge�nstalleerd. Om het opvragen van gegevens op internet te versnellen wordt gewerkt met proxyservers. Dat zijn servers waarop de webpagina's van veelbezochte websites worden opgeslagen. De gebruiker krijgt dus niet de echte pagina voorgeschoteld, maar de kopie zoals die op zich op de proxyserver bevindt. Over het algemeen wordt surfen via een proxyserver als privacyvriendelijk beschouwd. De gebruiker hoeft immers niet echt het internet op zodat er geen informatie over hem wordt vrijgegeven. Op de scheiding tussen het interne netwerk en het externe internet wordt doorgaans een firewall ge�nstalleerd. Dit beschermt het netwerk tegen aanvallen van virussen, hackers en dergelijke. De firewall screent het inkomende (maar eventueel ook het uitgaande) dataverkeer op verdachte bestanden of ongeautoriseerd gebruik. Op die manier kunnen bepaalde vormen van internetgebruik door werknemers worden tegengehouden. Zo kan een firewall het online spelen van spelletjes onmogelijk maken door de datapakketjes die daarvoor nodig zijn niet te laten passeren. 2.2 Vormen van internet Internet kent vele verschijningsvormen. De bekendste en meest gebruikte daarvan zijn e-mail en het World Wide Web. De laatste is tegenwoordig voor velen zelfs synoniem voor internet. Toch zijn er ook andere vormen en er komen nog steeds nieuwe bij. Momenteel zijn de belangrijkste vormen: E-mail, World Wide Web (WWW), File Transfer (FTP), Usenet en Chat (IRC). Dit rapport beperkt zich dan ook tot die vormen. Ondanks het feit dat de verschillende vormen ook verschillend gebruik mogelijk maken, is de controle ervan tot op zekere hoogte gelijk. De reden daarvoor is dat controle in beginsel gebaseerd is op het TCP/IP-protocol waar alle vormen van internet gebruik van maken. Het TCP/IP-protocol zorgt voor de communicatie tussen de gebruiker en het internet. Omdat iedere computer een uniek IP-adres heeft, weet de server waar de datapakketjes vandaan komen of naar toe moeten. De gegevens die aan of door het IP-adres worden aangeboden, zijn in combinatie met de logging op de username te herleiden tot een bepaalde werknemer. TCP/IP Internet werkt op basis van het TCP/IP-protocol. TCP staat voor Transmission Control Protocol; IP staat voor Internet Protocol. Een bericht of bestand dat over internet wordt gestuurd, wordt in stukjes geknipt waarna ieder datapakketje door TCP/IP wordt voorzien van een code met daarin onder meer het afzendadres, het bestemmingsadres, en een volgnummer. Door deze code weet iedere computer die op de route ligt wat voor pakketje het betreft, waar het vandaan komt en waar het naar toe moet. Aan het eind worden de pakketjes weer keurig aan elkaar geplakt tot het oorspronkelijke bericht of bestand. Computers die aan internet gekoppeld zijn, hebben ieder een uniek IP-nummer. Als een computer altijd het zelfde IP-nummer heeft, spreken we van een vast IP-adres. Als een computer bij iedere verbinding met internet een ander IP-nummer krijgt, spreken we van een dynamisch IP-adres. Vaste IP-adressen komen vooral voor in interne netwerken binnen organisaties die ook op basis van het TCP/IP-protocol werken (intranet). Het is niet vereist dat het intranet ook aan internet gekoppeld is. Is dat wel het geval, dan moeten de gebruikte IP-nummers wereldwijd uniek zijn, omdat anders de communicatie met de buitenwereld niet goed kan verlopen. Een vast IP-adres is dus altijd herleidbaar tot ��n en dezelfde computer. Dynamische IP-adressen worden vooral gebruikt bij inbelverbindingen via ISP's. Het zijn unieke adressen die niet permanent gekoppeld zijn aan een computer, maar per verbinding door de ISP worden toegekend aan de inbellende computer. Dynamische IP-adressen zijn dus niet herleidbaar tot een en dezelfde computer, maar kunnen in combinatie met de inbeltijd en het inbellende nummer wel achteraf tot een bepaalde computer worden herleid. Naast TCP/IP is ook van belang welke vorm van internet door de werknemer wordt gebruikt. De applicatie waarmee hij dat doet, is niet zozeer van belang. Wel de protocollen waaraan de verschijningsvorm te herkennen is en aan de hand waarvan het verkeer door de server wordt afgehandeld. Een werkgever kan besluiten bepaalde protocollen niet door de server te laten afhandelen. Daarmee worden bepaalde vormen van internet onmogelijk. Op de verschillende vormen van internet zal hieronder worden ingegaan. 2.2.1 E-mail E- mail is het versturen van een bericht door de afzender dat wordt geplaatst in de mailbox van de ontvanger. Voor het versturen wordt gebruik gemaakt van het SMTP-protocol (Simple Mail Transfer Protocol). Vervolgens wordt het bericht opgeslagen bij de ISP van de ontvanger totdat de ontvanger het bericht ophaalt. Het ophalen geschiedt via het POP-protocol (Post Office Protocol), waarbij het bericht in de mailbox op de server wordt bewaard totdat de gebruiker de post ophaalt en lokaal opslaat. Een andere manier om de post op te halen is het gebruik van het IMAP-protocol (Internet Message Access Protocol). In dit laatst geval kan men kiezen of de berichten aan de ontvanger worden overgedragen of dat de berichten op de server achterblijven. (Webmail waarbij de post via het World Wide Web wordt opgehaald blijft hier verder buiten beschouwing). Worden deze protocollen geblokkeerd, dan is regulier e-mailverkeer onmogelijk. Mailberichten zijn platte tekstbestanden die doorgaans met een eenvoudig mailprogramma gelezen kunnen worden. Om het lezen door onbevoegden te voorkomen kan de verzender het bericht versleutelen. In dat geval is alleen de header (het 'briefhoofd' met daarin de gegevens over de afzender, de bestemming en het onderwerp) nog voor derden leesbaar. Een mailbericht kan voorzien zijn van een attachment (een bijlage). Een attachment kan een bestand zijn in ieder willekeurig formaat. Bijlagen moeten door de ontvanger (tijdelijk) worden bewaard op zijn computer alvorens gelezen of gebruikt te worden. - Controle Een e-mailbericht kan gecontroleerd worden op onder meer: afzender, ontvanger, onderwerp, datum, tijd en inhoud. De bijlagen kunnen worden gecontroleerd op extensie en inhoud. De controle kan onder meer geschieden door content-filtering (zie hierna 2.3) en door het maken van kopie�n. - Risico's Zowel de inhoud van de berichten als de bijlagen kunnen 'verboden' materiaal, virussen en dergelijke bevatten. Deze kunnen de belangen van de werkgever schaden. Het versturen van e-mail brengt voor de werknemer echter het risico met zich dat de berichten kunnen worden gekopieerd of worden gelezen alvorens hij het bericht ontvangt of het bericht daadwerkelijk wordt verstuurd. Dit kan zijn privacy maar ook zijn vrijheid van meningsuiting schaden. 2.2.2 World Wide Web Het World Wide Web (WWW) is momenteel de meest bekende verschijningsvorm van internet. Op het WWW staan websites met webpagina's. Het WWW werkt op basis van het HTTP-protocol. HTTP staat voor Hypertext Tranfer Protocol. Websites zijn via een browser toegankelijk door het gebruik van unieke adressen (URL's, Uniform Resource Locator). Binnen de pagina kan de gebruiker via hyperlinks doorklikken naar andere pagina's of websites. Hyperlinks kunnen zich voordoen als woorden in de tekst of (gedeelten van) plaatjes. - Controle Het bezoek van websites kan worden gecontroleerd op onder meer datum, tijd, duur en inhoud. Ook de bestanden die worden gedownload kunnen worden gecontroleerd. Behalve het loggen van de verkeersgegevens, is controle mogelijk door het loggen van de adressen van websites of het opslaan van (de onderdelen van) de webpagina's. Sommige controlemiddelen geven de werkgever de mogelijkheid om websites af te sluiten of - juist omgekeerd - om alleen het bezoek aan bepaalde websites toe te staan. - Risico's De inhoud van websites is niet altijd van te voren even duidelijk. Een werknemer kan tijdens het surfen makkelijk verdwalen en via 'onschuldige' hyperlinks terechtkomen op een site waarvan de inhoud door de werkgever als onwenselijk wordt beschouwd (hierna: een 'verboden' site). Dit geldt ook voor de adressen van websites. Als een werknemer op goed geluk het adres van een organisatie intikt, loopt hij het risico op een verboden site te komen. Dubieuze sites maken nogal eens gebruik van het feit dat iemand (tik)fouten maakt bij het intikken van de naam van een website. Zo is www.whitehouse.gov de website van het Witte Huis in Washington, maar verwijst www.whitehouse.com naar een sekssite. Een ander punt dat de aandacht verdient, is het feit dat de onderdelen van een webpagina niet allemaal van hetzelfde webadres hoeven te komen. Zo kan de gevraagde pagina komen van website A, terwijl de plaatjes binnen die pagina komen van website B. Als alle onderdelen zijn opgehaald, stelt de browser de pagina samen en geeft die weer. Een bezoeker van een website kan dus ongewild bestanden ophalen van een verboden site. Hij heeft daar in principe geen controle over. Een bekend voorbeeld hiervan is het plaatsen van een zogeheten banner, een reclameplaatje voor een doorgaans commerci�le website waarop de gebruiker kan klikken om te worden doorgeschakeld naar die site. Ook kan ongemerkt informatie worden opgehaald via zogeheten meta-informatie, informatie die niet visueel wordt weergegeven door de browser. Dit geschiedt bijvoorbeeld bij het plaatsen van cookies door websites voor andere websites dan de website die door de gebruiker wordt bezocht. Controle op de herkomst van informatie kan leiden tot de onterechte conclusie dat een medewerker zich niet aan de afspraken heeft gehouden. 2.2.3 FTP FTP staat voor File Transfer Protocol en is met name bedoeld om (grote) bestanden over een netwerk te transporteren. Het is vergelijkbaar met het verplaatsen van bestanden binnen een computer van de ene naar de andere directory. Bij FTP maakt de computer van de gebruiker verbinding met een FTP-server. Bestanden kunnen nu over en weer worden uitgewisseld (zg. uploaden en downloaden). Vaak is voor het uploaden een username en een password vereist. Het wordt dan ook bij voorkeur gebruikt bij het onderhoud van websites. Downloaden is vaak voor iedereen mogelijk. Voor FTP zijn aparte programma's nodig, hoewel alle webbrowsers bestanden van FTP-servers kunnen downloaden. - Controle Bestanden die via FTP worden uitgewisseld kunnen onder meer worden gecontroleerd op datum, tijd en duur. - Risico's Middels FTP kunnen op een snelle wijze gevaarlijke of verboden bestanden worden uitgewisseld. Als de bestanden middels encryptie zijn beveiligd, kan de inhoud van de bestanden niet gecontroleerd worden. 2.2.4 Usenet Usenet is een vorm van internet die bestaat uit zogeheten nieuwsgroepen. Er zijn duizenden nieuwsgroepen waarin mensen berichten uitwisselen over uiteenlopende onderwerpen. Aan de naam van de nieuwsgroep kan doorgaans goed worden afgeleid waar hij over gaat. Zo gaat alt.privacy over problemen op het gebied van privacy en kunnen mensen voor informatie over kanker terecht in alt.support.cancer. De meeste nieuwsgroepen zijn openbaar en dus voor iedereen toegankelijk. Om het zoeken nog eenvoudiger te maken, werkt Usenet met een hi�rarchische structuur, d.w.z. elke nieuwsgroep zit in een cluster van soortgelijke nieuwsgroepen. Een bericht aan een nieuwsgroep is het best te omschrijven als "een e-mail aan de rest van de wereld". Het kan dan ook niet alleen vanuit nieuwsgroepen-lezers, maar ook vanuit mailprogramma's verstuurd worden. Als iemand het bericht leest, kan hij erop reageren door een bericht terug te sturen naar de afzender en/of naar de nieuwsgroep zelf. Ook berichten in nieuwsgroepen kunnen attachments bevatten van allerlei soort. Vanwege de grote hoeveelheid berichten die dagelijks verstuurd worden, worden de berichten in nieuwsgroepen doorgaans slechts enkele dagen bewaard. Bedrijven zoals DejaNews verzamelen alle berichten, bewaren ze gedurende een veel langere tijd . De database kan door iedereen worden geraadpleegd. - Controle Het versturen van berichten aan nieuwsgroepen kan op dezelfde wijze worden gecontroleerd als het versturen van e-mail. Het lezen van nieuwsgroepen kan worden gecontroleerd op onder meer datum, tijd en inhoud. De werkgever kan ook relatief eenvoudig nieuwsgroepen afsluiten voor werknemers. - Risico's Via Usenet heeft een werknemer gemakkelijk toegang tot berichten met een 'verboden' of gevaarlijke inhoud of bijlage. Deze berichten zijn niet altijd vooraf als zodanig herkenbaar. Omdat de meeste nieuwsgroepen niet worden beheerd, komt het nogal eens voor dat nieuwsgroepen berichten bevatten die niets met het onderwerp van de nieuwsgroep te maken hebben. Het lezen van deze berichten kan dan ook ongewild leiden tot een overtreding van het bedrijfsbeleid. Controle op het lezen van nieuwsgroepen kan leiden tot inbreuken op de privacy en de informatievrijheid van de werknemer. Zo kan vaak uit de naam van de bezochte nieuwsgroepen informatie worden verkregen over de interesses van de werknemer. Voor de werkgever kunnen nieuwsgroepen ook een risico vormen. Door het open karakter van Usenet kan een werknemer relatief eenvoudig schade toebrengen aan de goede naam van de organisatie door 'verboden' informatie te verspreiden met gebruikmaking van het zakelijke e-mailadres. Dit wordt immers vermeld bij het bericht. 2.2.5 Chat Internet kent babbelboxen. Met een chat-programma kan de gebruiker contact maken met andere gebruikers en in groepen of apart real-time informatie uitwisselen. Ook kunnen deelnemers binnen babbelboxen bestanden met elkaar uitwisselen. Veel werkgevers staan niet toe dat werknemers chatten omdat dit doorgaans gepaard gaat met een aanzienlijk tijdsbeslag. Chatsessies kunnen eenvoudig worden geblokkeerd. Er hoeft dan ook geen controle plaats te vinden op de inhoud.. 2.3 Content-filtering Het is betrekkelijk eenvoudig om de pakketjes die de server passeren te screenen op inhoud (content-filtering). Dit houdt in dat geautomatiseerd gekeken wordt of bestanden teksten bevatten die door de werkgever verboden zijn. Ook kan worden gekeken of de extensie is toegestaan (extensies voor plaatjes zoals *.jpg, *.gif of *.bmp, voor filmpjes zoals *.mpg, *.mov of *.avi, voor programma's zoals *.exe of voor ingepakte bestanden zoals *.zip of *.arj). Indien bestanden worden gevonden die voldoen aan de zoektermen zal door het systeem 'alarm' geslagen worden. De bestanden kunnen worden tegengehouden, teruggestuurd, apart gezet, gekopieerd, gelogd, etc. Content- filtering kan de communicatievrijheid en de persoonlijke levenssfeer van de gebruiker aantasten. Voor het gebruik zal de werkgever een gerechtvaardigd belang moeten hebben. Ook zal het gebruik ervan moeten voldoen aan de eisen van proportionaliteit en subsidiariteit. Dit betekent dat onder meer zal moeten worden bezien in hoeverre content-filtering noodzakelijk is, welke zoektermen worden gebruikt, welke actie wordt ondernomen nadat een 'hit' is gevonden en welke procedures er bestaan om gerechtvaardigd gebruik van aangewezen zoektermen mogelijk te maken. Zo zal een zoekvraag naar 'breasts' of 'borsten' doorgaans leiden tot een alarm, maar zal iemand wel een zoekvraag of 'breastcancer' of 'borstkanker' moeten kunnen stellen. Een zoekterm in het systeem naar 'breast' of 'borst' zal voor beide alarm slaan. In het laatste geval zullen werknemers die op internet zoeken naar informatie over borstkanker, mogelijk in hun privacy worden geschaad. Content-filtering kan dus alleen worden ingezet als de zoektermen vanuit het belang van de werkgever gerechtvaardigd zijn en ook dermate nauwkeurig zijn dat gerechtvaardigd gebruik zoveel mogelijk ongemoeid wordt gelaten. Mits het met de nodige zorgvuldigheid wordt ingezet, zal content-filtering als controlemiddel in mindere mate inbreuk maken op de privacy en de communicatievrijheid van de gebruiker dan andere vormen van controle, zoals volledige inhoudscontrole of steekproefsgewijze inhoudscontrole. Met behulp van content-filtering zal verboden gebruik waarbij gebruik wordt gemaakt van codetaal of versleuteling (encryptie) van berichten, niet kunnen worden opgespoord. 2.4 Telewerken De controle door de werkgever van het computergebruik van de werknemer vormt in situaties waarin de werknemer vanuit zijn eigen huis inlogt op het computersysteem van het werk (telewerken) een extra probleem. Voor zover de werknemer uitsluitend ten behoeve van het werk inlogt, zullen de regels in dit rapport van overeenkomstige toepassing zijn. De computer van de werknemer thuis maakt dan immers logisch gezien deel uit van het computernetwerk en de werknemer bevindt zich in een situatie waarin ook de gezagsbevoegdheid van de werkgever geldt. Dit is anders als de werknemer het bedrijfsaccount kan en mag gebruiken om priv� e-mail te versturen of in zijn eigen tijd over het internet te surfen. Voor logging van hetgeen hij priv� doet, is geen grond. Dit geldt zeker indien ook zijn gezinsleden van de faciliteiten gebruik mogen maken. Met hen heeft de werkgever immers geen arbeidsrelatie waarin hij zijn gezag kan uitoefenen. Zijn positie is in deze vergelijkbaar met een ISP. De werkgever dient hiermee rekening te houden bij het opzetten en de uitvoering van het telewerkbeleid. (Voor meer informatie over de relatie tussen een gebruiker en Internetprovider zie, M.J.T. Artz en M.M.M. van Eijk, Klant in het web, Achtergrondstudies en Verkenningen 17, Registratiekamer, Den Haag 2000). 2.5 Conclusie Internet kent een grote verscheidenheid aan verschijningsvormen. Deze maken echter allemaal gebruik van het TCP/IP-protocol waardoor controle op het gebruik relatief eenvoudig is te realiseren. De werkgever kan het gebruik van bepaalde vormen van internet onmogelijk maken door datapakketjes met vormspecifieke protocollen op de server tegen te houden. Verder is controle tot in ieder detail mogelijk. Van ieder gebruik kan de datum, de tijd en vaak ook de inhoud worden gecontroleerd. Internetgebruik leidt per verschijningsvorm tot andere risico's voor de werkgever en de werknemer. Voor de werkgever kan het gaan om de beveiliging van het netwerk, het tegengaan van 'verboden gebruik' of het beschermen van andere bedrijfsbelangen zoals bedrijfsgeheimen of de goede naam van de organisatie. Voor de werknemer staat vaak het privacybelang door de controle onder druk, maar ook de vrijheid van meningsuiting of de informatievrijheid kan in het geding zijn. De werkgever dient zich hiervan bewust te zijn, als hij overgaat tot controle van e-mail- en internetgebruik van zijn werknemers. 3 Juridisch kader 3.1 Inleiding In werktijd geniet men niet dezelfde vrijheden als daarbuiten. De arbeidsverhouding brengt zekere beperkingen met zich mee voor de grondrechten van werknemers. Tegenover het loon staat de verplichting werkzaamheden te verrichten onder het gezag van de werkgever en hierbij diens aanwijzingen op te volgen. De werknemer is als gevolg daarvan in meer of mindere mate beperkt in zijn bewegings- en handelingsvrijheid en in zijn vrijheid van meningsuiting. Hetzelfde geldt voor zijn recht op privacy. Met het betreden van de werkplaats moet de werknemer een deel van zijn aanspraken op respect voor zijn persoonlijke levenssfeer inleveren. Dit betekent niet dat een werkgever bij het nastreven van zijn belang zonder meer aan de belangen en fundamentele vrijheden van zijn medewerkers voorbij kan gaan. Dit geldt ook voor de controle van het e-mail- en internetgebruik van werknemers. 3.2 Grondrechtelijk kader Artikel 8 van het Europese verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) bepaalt dat een ieder recht heeft op respect voor zijn priv�-leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. De verzamelterm voor deze niet duidelijk te scheiden rechten is het 'recht op privacy'. Werknemers hebben een gerechtvaardigd belang om ook gedurende het uitvoeren van bedrijfsmatige activiteiten relaties met andere mensen aan te kunnen gaan (vgl. EHRM 16 december 1992, NJ 1993, 400 Niemietz). Een zekere mate van vrijheid om met anderen al dan niet persoonlijk te kunnen communiceren zonder inmenging door de werkgever is in dat kader onontbeerlijk. Artikel 8 EVRM beschermt het individu niet alleen tegen inbreuken op dergelijke privacy-aanspraken door de overheid maar ook wanneer deze afkomstig zijn van particulieren, zoals werkgevers. Bovendien zijn de verdragsstaten verplicht om het recht op privacy zo goed mogelijk te waarborgen in hun wetgeving, rechtspraak en bestuur. De Nederlandse Grondwet verklaart het telefoongeheim onschendbaar (artikel 13). Deze bescherming van de communicatievrijheid kan worden gezien als een onderdeel van het meer omvattender recht op eerbiediging van de persoonlijke levenssfeer (artikel 10 Grondwet). Op dit moment liggen er voorstellen van de Minister van Binnenlandse Zaken en Koninkrijksrelaties die ook het gebruik van e-mail onder de bescherming van dit grondrecht brengen (Brief van 16 oktober 2000, Tweede Kamer 2000-2001, 27 460, nr. 1). Het communicatiegeheim betreft met name de inhoud van de boodschap. Uitgangspunt hierbij is dat de deelnemers anderen (de overheid of derden) in beginsel niet tot hun communicatie hoeven toe te laten en gevrijwaard zijn van inbreuken hierop. Controle van e-mail raakt vooral de vrijheid om met anderen te communiceren. Van het vastleggen van uiterlijke kenmerken van het communicatieverkeer gaat eveneens een 'chilling effect' uit voor de communicatievrijheid. Het vastleggen van gegevens die inzicht bieden in de activiteiten van de werknemer, raakt niet alleen diens persoonlijke levenssfeer maar ook de arbeidsverhouding in het algemeen; het kan in zekere zin de handelingsvrijheid van de werknemer beperken om de werkzaamheden naar eigen inzicht uit te voeren (autonomie). Het inperken van dergelijke vrijheden door de werkgever behoeft een rechtvaardigingsgrond terwijl tevens zo terughoudend mogelijk te werk moet worden gegaan (de zogeheten 'eisen van proportionaliteit en subsidiariteit'). Uit de jurisprudentie op artikel 8 EVRM is eveneens duidelijk dat de inbreuk kenbaar moet zijn voor de betrokkene. Heimelijke controle waaraan geen waarschuwing aan vooraf is gegaan of als uitvoering van een geldende gedragscode is in strijd met deze regels. Het enkele bekend zijn van de mogelijkheid tot meeluisteren of opnemen rechtvaardigt het gebruik daarvan evenwel niet. Een geval uit de Europese jurisprudentie kan dit verduidelijken (EHRM 25 juni 1997, NJ 1998, 506 Halford). Mevrouw Halford was Assistant Chief Constable bij een Engels politiekorps. In verband met een rechtszaak tegen haar werkgever wegens ongelijke behandeling had zij de beschikking over een tweede telefoon die was uitgezonderd van de standaard controle van de telefoons van het politiebureau. Uit het bewijs dat in de rechtszaak was overlegd, kon worden afgeleid dat de werkgever waarschijnlijk de gesprekken die via de speciale telefoon waren gevoerd, had afgeluisterd. Het Hof overwoog dat 'the right to private life and correspondence' zich ook uitstrekt tot de werkplek. Omdat er geen waarschuwing was gegeven dat de telefoongesprekken werden opgenomen, had zij een 'reasonable expectation of privacy', hetgeen werd versterkt door bijkomende factoren waaronder het feit dat de telefoon specifiek ter beschikking was gesteld voor priv�-gebruik. Uit dit arrest kan worden afgeleid dat een werknemer op zijn werkplek recht heeft op de bescherming van zijn privacy en dat hij uit de omstandigheden mag afleiden dat dit recht in redelijke mate wordt beschermd. Kenbaarheid van de (mogelijkheid tot) controle is een basisvoorwaarde voor de rechtmatigheid ervan. Bijkomende factoren kunnen de controle echter alsnog onrechtmatig maken. 3.3 Strafrechtelijk kader De bescherming van de privacy en van het communicatiegeheim bij het gebruik van computers is uitgewerkt in het Wetboek van Strafrecht. (artikel 138a: computervredebreuk, artikel 139b: aftappen / opnemen van gegevensoverdracht, artikel 139c: aftappen / opnemen van gegevensoverdracht via telecommunicatienetwerk, artikel 350a: ontoegankelijk maken computergegevens). Voor zover deze artikelen van toepassing kunnen zijn op de maatregelen die een werkgever neemt voor de controle van e-mail- en internetgebruik van werknemers, geldt dat de controle door de werkgever als gerechtigde tot de faciliteiten niet voldoet aan de eis dat de inbreuk wederrechtelijk moet zijn. Dit is alleen anders als sprake is van kennelijk misbruik van de controlemiddelen door de werkgever. 3.4 Arbeidsrechtelijk kader 3.4.1 Burgerlijk wetboek (BW) De werkgever is gerechtigd tot het geven van voorschriften voor het verrichten van de arbeid en het nemen van maatregelen ter bevordering van de goede orde in de onderneming (art. 7:660 BW). Regels voor het gebruik van e-mail en internet en de maatregelen voor de controle daarop vallen onder deze bepaling. Een werkgever en een werknemer dienen zich ten opzichte van elkaar te gedragen als een goed werkgever en een goed werknemer (art. 7:611 BW). Dit impliceert dat ook als er geen sprake is van een strafbaar feit, de controle toch onrechtmatig kan zijn. Dat is het geval als de werkgever niet handelt zoals het een goed werkgever betaamt. Hiervan is met name sprake als zonder noodzaak of gerechtvaardigd belang dan wel met onevenredige middelen inbreuk wordt gemaakt op de persoonlijke levenssfeer van werknemers, dan wel als niet voldoende zorgvuldigheid wordt betracht bij het beoordelen van individuele werknemers op basis van de aldus verkregen gegevens. Bij dat laatste geldt als uitgangspunt, dat een werknemer zich moet kunnen verdedigen indien er bezwaren rijzen tegen zijn functioneren. Hiervoor is essentieel dat hij weet op grond van welke feiten en omstandigheden hij wordt beoordeeld. 3.4.2 Arbeidsomstandighedenwetgeving Het gebruik van controlemiddelen voor computers wordt arbeidsrechtelijk uitsluitend expliciet genormeerd in het Besluit beeldschermwerk dat thans integraal is opgenomen in de artikelen 5.1 tot 5.3 van de Arbeidsomstandighedenregeling. De bepalingen zijn een uitvoering van een Europese richtlijn voor arbeidsomstandigheden (90/270/EEG, 29 mei 1990, vijfde bijzondere Richtlijn). De regeling bepaalt dat zonder medeweten van de werknemer geen gebruik mag worden gemaakt van een kwalitatief of kwantitatief controlemechanisme. Voorts moet het systeem de werknemer duidelijkheid verschaffen over de werking ervan. 3.4.3 Wet op de ondernemingsraden (WOR) Met betrekking tot de verwerking van persoonsgegevens en het gebruik van personeelsvolgsystemen heeft de ondernemingsraad het recht van instemming (art. 27, lid 1, onder K en L). Onder personeelsvolgsysteem verstaat de wet "voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen; een en ander voor zover betrekking hebbende op alle of een groep van de in de onderneming werkzame personen." De controle op e-mail en internet is derhalve een personeelsvolgsysteem waarover de ondernemingsraad instemmingsrecht heeft. De instemming van de ondernemingsraad bindt echter de individuele werknemers niet. Aparte aandacht verdient de communicatie per e-mail van leden van de ondernemingsraad ten behoeve van hun OR-werkzaamheden. Op grond van artikel 17 WOR hebben zij het recht om onderling te overleggen met gebruik van voorzieningen waarover het OR-lid als zodanig kan beschikken. De wetgeschiedenis van artikel 17 WOR maakt duidelijk dat tussen de OR en de werkgever geen gezagsrelatie bestaat. Derhalve kan de werkgever zijn gezagsbevoegdheid niet aanwenden om het e-mail-gebruik van OR-leden in functie te controleren. Dit betekent dat op e-mail van, aan en tussen OR-leden in functie de algemene wettelijke regels omtrent vertrouwelijke communicatie van toepassing zijn. Daarmee is dit soort e-mail geprivilegieerd en mag de werkgever er geen kennis van nemen. 3.5 Wet bescherming persoonsgegevens (WBP) 3.5.1 Persoonsgegevens De WBP is van toepassing als er sprake is van verwerking van persoonsgegevens. Gegevens met betrekking tot het e-mail- en internetgebruik van werknemers zijn in het algemeen te kwalificeren als persoonsgegevens. IP-adressen zijn in combinatie met de username en het password te herleiden tot een bepaalde gebruiker. De daaraan verbonden bestanden zijn aldus herleidbaar tot een werknemer. De verkeersgegevens geven inzicht in de afzender, de bestemming, de datum en de tijd van het bericht of van het internetgebruik. Ook de inhoud van het e-mailbericht is een persoonsgegeven als de werkgever dit tot zijn beschikking heeft om bijvoorbeeld te controleren of een werknemer de gebruiksafspraken nakomt. 3.5.2 Verwerking De WBP hanteert een ruime definitie voor het begrip 'verwerking'. Het gehele proces van verzamelen tot aan vernietigen van gegevens valt onder het begrip. Bij het proces van e-mail en internetgebruik is voortdurend sprake van het vastleggen van gegevens in servers op de route tussen de gebruiker en de bestemming. Van belang is of de werkgever invloed kan uitoefenen op de vastleggingen. Alleen als het vastleggen een definitief karakter heeft en niet slechts voor de duur van de verbinding, zodat ook de mogelijkheid van raadplegen (achteraf) bestaat, zal kunnen worden gesproken van verwerking van gegevens en is de WBP mogelijk van toepassing. 3.5.3 Verantwoordelijke Verantwoordelijke voor de verwerking van persoonsgegevens is degene die het doel en de middelen van de verwerking vaststelt. Of de werkgever in de zin van de WBP ook verantwoordelijke is voor de verwerking van de gegevens, hangt onder meer af van de vraag wie de faciliteiten aanbiedt en beheert. Een werkgever die zelf een e-mail- en/of internetserver beheert, zal verantwoordelijke zijn voor de verwerkingen van gegevens op die server. Indien het e-mail- en internetverkeer echter geheel verloopt via het telefonisch inbellen bij een ISP, zal de werkgever niet snel als verantwoordelijke kunnen worden gekwalificeerd, omdat de ISP zelf het doel en de middelen. Dit is alleen anders voor eventuele logbestanden op de computer van de werknemer zelf. Indien de werkgever het aanbieden van de computerfaciliteiten heeft uitbesteed aan een derde ('outsourcing'), kan sprake zijn van een 'bewerker'; de derde is dan niet zelfstandig verantwoordelijk voor de gegevensverwerkingen, maar het is de werkgever die jegens de werknemer als verantwoordelijke moet worden aangemerkt. Daarnaast kan het voorkomen dat de bewerker dermate veel invloed heeft op het proces, dat wellicht moet worden gesproken van (mede)verantwoordelijkheid. 3.5.4 Verzamelen/verwerken De WBP bepaalt dat gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze moeten worden verwerkt (art. 6). In zoverre geldt dit voorschrift als de privacyrechtelijke evenknie van de arbeidsrechtelijke norm van het goed werkgeverschap. Voorts mogen de gegevens alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (art. 7). Controle via volgsystemen is dus alleen toegestaan als het doel van de controle vooraf is bepaald. Als grondslag van de controle kan doorgaans worden aangewezen het gerechtvaardigd belang van de werkgever (artikel 8 onder f). Hierbij geldt wel dat hij een aantoonbare belangenafweging moet doen tussen zijn belangen en de (privacy)belangen van de werknemers. De aard, omvang en de vorm van de controlemaatregelen dienen derhalve in een redelijke verhouding te staan tot het doel van de controle. Ten slotte is niet onbelangrijk dat de WBP voorschrijft dat gegevens niet bovenmatig mogen zijn (art. 11). De controlemaatregelen dienen dus beperkt te zijn en gegevens niet onnodig vast te leggen. Indien het doel de vastlegging van gegevens op persoonsniveau niet vereist, moet worden volstaan met geaggregeerde of geanonimiseerde gegevens. 3.5.5 Gebruik Een andere vraag is waarvoor de gegevens die door middel van de controle zijn verzameld, mogen worden gebruikt. Deze doelen mogen niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verkregen. Dit betekent dat algemene personeelsbeoordeling alleen kan plaatsvinden als dit als doelstelling voor het systeem is geformuleerd of als dit verenigbaar is met de primaire doelstelling. Dit ligt anders bij incidenteel gebruik van de gegevens wegens verdenking van overtreding van de regels. In dat geval zal een werkgever er eerder toe over mogen gaan om de gegevens voor zijn onderzoek te gebruiken (art. 43). Daarbij dient hij wel zorgvuldig te werk te gaan en de controlemiddelen naar evenredigheid in te zetten. 3.5.6 Rechten en plichten De werkgever is verplicht om de werknemers inlichtingen te verschaffen over het doel van de controlemiddelen, de manier waarop de gegevens worden verkregen en het gebruik dat ervan wordt gemaakt. Transparantie is een belangrijk beginsel voor privacybescherming. De informatieplicht is - afhankelijk van de situatie - gebaseerd op de artikelen 33 en 34 WBP. De verplichting vloeit ook voort uit de Arbowetgeving. Het enkele overleg met de ondernemingsraad is in dit kader onvoldoende. De werknemers moeten individueel worden voorgelicht. In geval van e-mail- en internetcontrole is het moment van inloggen hiervoor het aangewezen tijdstip. De werknemer heeft het recht op inzage in de gegevens (art. 35). Hij kan voorts de werkgever verzoeken de gegevens aan te vullen, te verbeteren, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt (art. 36). 3.5.7 Melden of niet? Een verantwoordelijke is verplicht om de verwerking van persoonsgegevens te melden bij het College Bescherming Persoonsgegevens (CBP) voordat hij begint met de verwerking. De melding geeft inzicht in de doeleinden van de verwerking, de personen van wie de gegevens worden verwerkt, de soorten gegevens, de ontvangers, bewaartermijnen en de beveiliging van de gegevens. Veel voorkomende verwerkingen waarvan de inbreuk op de persoonlijke levenssfeer onwaarschijnlijk is, zijn door het Vrijstellingsbesluit van de meldingsverplichting vrijgesteld. Het Vrijstellingsbesluit zal een aantal vrijstellingen bevatten voor het verwerken van persoonsgegevens in verband met het gebruik van computers en computernetwerken. Deze vrijstellingen gelden met name voor de normale systeemcontrole (performance), controle op autorisaties en de (externe) beveiliging van het systeem tegen virussen en dergelijke. Controle op de inhoud van e-mail en internetgebruik valt niet onder de vrijstelling en dient derhalve te worden gemeld. 3.6 Telecommunicatiewet Hoewel het aanbieden van e-mail- en internetvoorzieningen via eigen servers wel onder het begrip telecommunicatie valt, is de telecommunicatiewet niet van toepassing op werkgevers die hun werknemers deze diensten aanbieden. Dit ligt alleen anders als de diensten ook beschikbaar zijn voor het publiek. Zowel de rechter als de Registratiekamer hebben zich uitgelaten over aspecten van controle op e-mail en internetgebruik op de werkplek. 3.7 Uitspraken van de rechter Er hebben nog maar weinig zaken gespeeld voor de rechter. De hier genoemde zaken zijn dan ook slechts illustratief bedoeld. Voor het Kantongerecht Almelo speelde een zaak waarin de werkgever voorwaardelijk ontbinding vorderde van de arbeidsovereenkomst met een werknemer die op staande voet was ontslagen nadat was geconstateerd dat hij zonder toestemming van de werkgever een internetaansluiting had aangelegd en bepaalde sites had bezocht. De werknemer stelde dat de werkgever inbreuk had gemaakt op zijn privacy door onder meer kennelijk het wachtwoord te kraken en de e-mail te openen. Hij eiste een vergoeding op basis van een hoge correctiefactor. De rechter oordeelde onder meer dat "bij een onderzoek naar misbruik van het internet door de werkgever niet valt te ontkomen aan een onderzoek naar het persoonlijk gebruik dat van het internet is gemaakt. De werkgever treft derhalve geen verwijt." De arbeidsovereenkomst werd ontbonden zonder toekenning van een vergoeding. (Kantonrechter Almelo, 30 september 1999, Praktijkgids 1999, 5365) In een zaak die speelde voor de Kantonrechter Haarlem, ging het om een werknemer die in strijd met de bedrijfsrichtlijnen tijdens werkuren pornografisch materiaal per e-mail had verzonden aan priv�-relaties. De werkgever vroeg ontbinding van de arbeidsovereenkomst. De rechter oordeelde dat "... in het huidige tijdsgewricht is aanvaard dat er een zekere 'priv�tisering' van de werkplek optreedt. Dat heeft tot gevolg dat ook een werkgever binnen zekere grenzen heeft te aanvaarden dat er onder werktijd priv�-contacten worden onderhouden. Een werkgever behoort de privacy van die contacten te waarborgen". De rechter liet derhalve de inhoud van het e-mailverkeer met derden buiten beschouwing. Wel oordeelde de rechter dat de werknemer had moeten begrijpen dat het bedrijfsnetwerk niet bedoeld was voor dit soort gebruik. Omdat het de werkgever volgens de rechter vrij stond om haar netwerk te onderzoeken op dit soort gebruik, achtte de rechter het verkregen en ter zitting aangevoerde bewijsmateriaal niet onrechtmatig. Daarnaast speelden ook andere feiten. De rechter ontbond de arbeidsovereenkomst zonder vergoeding. (Kantonrechter Haarlem, 16 juni 2000, Jurisprudentie Arbeidsrecht 2000, 170). Niet veel later deed de Kantonrechter Utrecht uitspraak in een zaak waarin een werkgever de ontbinding verzocht van de arbeidsovereenkomst met een oudere werknemer die dagelijks meer dan een uur erotische sites op internet bezocht via het computersysteem van het bedrijf. De rechter oordeelde dat het ontslag de werknemer onevenredig hard zou treffen en weigerde de arbeidsovereenkomst op die grond te ontbinden. Daarbij nam hij in aanmerking dat de werkgever op dat moment geen gedragscode voor het gebruik van e-mail en internet op het werk had en dat de werkgever de werknemer niet eerst had gewaarschuwd. Wel zag de rechter gronden om de arbeidsovereenkomst wegens gewijzigde omstandigheden te ontbinden zonder toekenning van een vergoeding. De Kantonrechter te Apeldoorn verbond in een soortgelijke zaak eveneens consequenties aan het ontbreken van een gedragscode. (Kantonrechter Utrecht, 13 juli 2000, JAR 2000, 199 en Kantonrechter Apeldoorn, 6 september 2000, JAR 2000, 212). Ten slotte oordeelde de Kantonrechter Hilversum dat ontbinding van de arbeidsovereenkomst zonder vergoeding gerechtvaardigd was in het geval van een werknemer die door het bezoeken van sekssites op internet de telefoonrekening van de werkgever zeer hoog had laten oplopen. (Kantonrechter Hilversum, 6 september 2000, JAR 2000, 216). 3.8 Uitspraken van de Registratiekamer Ook de Registratiekamer heeft enkele malen uitspraak gedaan over controle op e-mail en internetgebruik. De uitspraken zijn gebaseerd op de Wet persoonsregistraties (WPR), de voorloper van de WBP. In een zaak van de gemeente Zwolle was de beveiliging van het e-mailsysteem uitgevallen. Daardoor kon e-mail die als 'priv�' gelabeld was en onder normale omstandigheden niet leesbaar was voor derden, door anderen worden geopend. De gemeente stond een bescheiden priv�-gebruik toe. Uit de inhoud van deze mail bleek dat er kwetsende opmerkingen werden gemaakt over enkele medewerkers. Dit werd gemeld aan het management, dat daarop besloot tot een onderzoek naar alle berichten. De Registratiekamer oordeelde dat de gemeente Zwolle door het laten vervallen van de beveiligingen waardoor door derden kennis kon worden genomen van de berichten, in strijd had gehandeld met artikel 8 WPR (beveiligingsplicht). Het onderzoek naar alle berichten was naar het oordeel van de Registratiekamer in strijd met artikel 6, eerste lid, WPR (verenigbaar gebruik). "De zorg van een goed werkgever brengt met zich mee dat de vertrouwelijkheid van berichten met een meer persoonlijke, niet zakelijke inhoud wordt gerespecteerd. Dit betekent dat de gemeente alleen gebruik mag maken van niet voor zakelijke doeleinden bewaarde elektronische berichten, indien een gewichtig bedrijfsbelang daartoe zou dwingen en voor zover dat gebruik in juiste verhouding staat tot het nagestreefde doel terwijl dit doel niet op een minder ingrijpende wijze kan worden bereikt. De mogelijke aanwezigheid van berichten met een onoirbare inhoud is op zichzelf geen voldoende rechtvaardiging voor een inbreuk op artikel 8 EVRM, door de in de folders opgeslagen berichten aan een inhoudelijk onderzoek te onderwerpen. Daarbij moet tevens in aanmerking worden genomen dat er onvoldoende aanleiding was om alle onderzochte personen bij voorbaat als 'verdacht' aan te merken." (Registratiekamer, 23 december 1997, 97178.04) In een zaak van een politiekorps werden via het bedrijfsnetwerk berichten uitgewisseld die met name vrouwelijke politie-ambtenaren als intimiderend en ongewenst beschouwden. Er was in casu geen sprake van eigen postbussen van medewerkers, maar van een centrale opslag. Er waren geen gebruiksregels opgesteld. De medewerkers gebruikten het systeem ook voor berichten van meer persoonlijke aard. De Registratiekamer oordeelde dat "de zorg van een goed werkgever met zich mee brengt dat het meer persoonlijke, niet zakelijke berichtenverkeer gerespecteerd wordt. Dit geldt temeer als die berichten van de aanduiding 'priv�', 'persoonlijk' of 'vertrouwelijk' zijn voorzien. Het betreft hier privacy-aanspraken van werknemers die door de werkgever in beginsel dienen te worden gerespecteerd". De Registratiekamer merkte op dat ook ter discussie staat of e-mail onder de bescherming van artikel 13 Grondwet (het brief- en telefoongeheim) staat en dat wetsvoorstellen aanhangig waren die e-mail onder de bescherming van dit artikel moesten brengen. "Uit het voorgaande in samenhang beschouwd vloeit naar het oordeel van de Registratiekamer voort dat ten aanzien van e-mailverkeer ook in de verhouding werkgever/werknemer de privacybescherming voorop dient te staan. Inbreuken daarop dienen in concrete situaties in overeenstemming te zijn met de beginselen van proportionaliteit en subsidiariteit." Het onderzoek naar de intimiderende berichten kon plaatsvinden met inachtneming van de gegeven randvoorwaarden. (Registratiekamer, 14 oktober 1997, 97578.01) In een latere zaak vroeg de ondernemingsraad van een computerbedrijf de Registratiekamer om een oordeel over de nieuwe 'worldwide corporate policy' van het bedrijf ten aanzien van e-mail en voicemail. Daarin werd gesteld dat de werkgever inzage kan eisen in de e-mail- en voicemailberichten 'for any purpose' en dat werknemers 'no reasonable expectation of privacy' hebben. Dit laatste vloeide voort uit het feit dat het gebruik van het e-mailsysteem slechts was toegestaan voor zakelijk verkeer. Priv�-gebruik was slechts incidenteel toegestaan. De Registratiekamer oordeelde dat het voorbehoud van de werkgever om voor 'any purpose' e-mailberichten te openen, te gebruiken, te kopi�ren of te verspreiden op grond van de WPR niet is toegestaan. De werkgever zal een redelijk belang moeten kunnen aantonen voor de aanleg van de persoonsregistratie. "Een persoonsregistratie mag gelet op artikel 4 WPR slechts worden aangelegd voor een bepaald doel waartoe het belang van de houder redelijkerwijs aanleiding geeft. Dit geldt ook voor een persoonsregistratie die het resultaat is van het gebruik van e-mail. Het doel van deze persoonsregistratie mag niet in strijd zijn met de wet, de openbare orde of de goede zeden en moet bij de aanleg van de registratie vast staan. Artikel 4 dwingt de houder dus tot specificatie van de doelstelling. Van enige specificatie van het doel van deze persoonsregistratie is volgens de policy geen sprake." Het gebruik van de persoonsregistratie moet daarmee verenigbaar zijn. Ook de stelling dat de werknemer 'no reasonable expectation of privacy' heeft, is niet houdbaar. (Registratiekamer, 24 juni 1999, 99141.01) Kort daarna stelde de Registratiekamer een ambtshalve onderzoek in naar een bedrijf dat was overgegaan tot het monitoren van het bedrijfsnetwerk in het kader van een onderzoek naar overtreding van de bedrijfsvoorschriften door enkele medewerkers. Het bedrijfsbeleid stelde dat het netwerk voornamelijk was bedoeld voor zakelijke doeleinden, maar dat priv�-gebruik - mits tot een minimum beperkt en met toestemming van de chef - was toegestaan. Tevens werden bepaalde vormen van gebruik uitdrukkelijk verboden, waaronder "online gokken, het versturen van kettingbrieven, pornografisch materiaal of discriminerende of seksueel intimiderende opmerkingen". Het bedrijf hield zich het recht voor om alle mailberichten en internetgebruik te onderzoeken zonder de betrokken medewerker daarvan op de hoogte te stellen. Dit beleid was voor de medewerkers toegankelijk via een verwijzing op het openingsscherm. Het bedrijf was overgegaan tot een intern onderzoek na een klacht van een medewerker van een zustermaatschappij die een e-mailbericht met pornografisch materiaal had ontvangen dat niet voor hem bestemd was. Daarop heeft het bedrijf de mailboxen geopend van de medewerkers die bij deze zaak betrokken waren. Alleen de berichten waarvan niet kon worden uitgesloten dat zij vrij waren van verboden materiaal, werden geopend. Voorts was het onderzoek beperkt in de tijd. De Registratiekamer oordeelde dat de beperkte omvang van het onderzoek en de wijze waarop het had plaatsgevonden behoorlijk en zorgvuldig was. Wel plaatste de Registratiekamer enkele kanttekeningen bij het opgestelde beleid. "Afhankelijk van de momenten en de wijze waarop deze toestemming van de chef in de praktijk moet worden verkregen, miskent deze voorwaarde dat de werknemer ook in de arbeidssituatie een zekere mate van privacy toekomt, hetgeen door de rechter ook als zodanig wordt erkend. Onder dit recht op privacy mag naar het oordeel van de Registratiekamer ook een beperkt gebruik van communicatiemiddelen zonder voorafgaande toestemming van de directe chef worden gerekend." En voorts "De bevoegdheid die het bedrijf zich in het algemeen toekent om al het netwerkverkeer te controleren zonder de werknemer daarvan op de hoogte te stellen, is naar het oordeel van de Registratiekamer in zijn algemeenheid te ruim geformuleerd om de hiermee gepaard gaande inbreuk op de bescherming van de persoonlijke levenssfeer te rechtvaardigen. Een nadere omschrijving van de gevallen waarin van dit recht gebruik wordt gemaakt en de werkwijze die hierbij wordt gevolgd wordt dan ook aanbevolen." (Registratiekamer, 27 december 1999, 99927.02) 4 Vuistregels In dit hoofdstuk zullen voor het gebruik en controle van e-mail en internet op de werkplek vuistregels worden geformuleerd. Daarbij wordt aangesloten bij wettelijke regels vanuit het privacyrecht en het arbeidsrecht en bij algemene noties met betrekking tot personeelsvolgsystemen. Allereerst worden in paragraaf 4.1 algemene regels geformuleerd die gelden voor personeelsvolgsystemen in het algemeen en de controle op het gebruik van het bedrijfsnetwerk in het bijzonder. Specifieke regels voor de controle op e-mail worden geformuleerd in paragraaf 4.2, waarbij met name de bescherming van de inhoud van het bericht centraal staat. In paragraaf 4.3 zullen regels worden geformuleerd die specifiek zijn toegesneden op de controle van internet. Waar nodig zal aangegeven worden op welke vorm van internet de regel met name betrekking heeft. 4.1 Algemeen Als men nadenkt over het fenomeen e-mail en internet op de werkplek, dan komt men al snel tot de conclusie dat het gaat om nieuwe technologie�n die tegemoet komen aan oude behoeften en doeleinden. Meestal kan hieraan ook op een andere, minder snelle wijze tegemoet worden gekomen. Als men op deze wijze over de problematiek nadenkt, zal men snel tot de conclusie komen dat er in wezen niet zo veel verandert door de introductie van deze technologie�n op de werkplek. Aan de andere kant is de impact van systematische controle op het gedrag van werknemers bij het gebruik van computers groot, hetgeen ook blijkt uit de bepalingen die hieromtrent in de Arbeidsomstandighedenregelgeving zijn opgenomen. De werkgever zal bij de vormgeving van zijn beleid uit moeten gaan van de loyaliteit van zijn werknemers. Permanente controle op werkprocessen draagt niet bij tot een sfeer van wederzijds vertrouwen. 4.1.1 Behandel zaken online op dezelfde manier als offline Werknemers doen hun taken op een bepaalde manier. Zij kunnen daar vaak verschillende methoden voor gebruiken. Als men iets wil mededelen aan een ander, kan men naar die ander toe gaan voor een persoonlijk gesprek, men kan dit ook telefonisch doen, een brief schrijven of een fax versturen. Sinds enige tijd kan men hetzelfde bericht ook e-mailen. Vergelijkbare onderwerpen zijn ook te bedenken voor internet. Men kan achter een bureau de krant lezen, maar ook op internet. Een werknemer kan even langs het reisbureau gaan, maar hij kan ook online informatie krijgen. Men kan een bestand op diskette versturen, maar ook via FTP of e-mail. In het algemeen dient de werkgever er bij de vaststelling van zijn beleid rekening mee te houden dat de werknemer alternatieve wegen kan bewandelen om hetzelfde doel te bereiken. Het verbieden van een priv�-mail zal in het algemeen onredelijk zijn als men een priv�-telefoontje wel toestaat; waarbij men moet bedenken dat de operationele kosten van telefoneren hoger zijn dan van e-mailen. Zo geldt dit ook voor andere zaken. Het beleid voor online gedrag moet dus in overeenstemming zijn met het beleid voor offline gedrag. 4.1.2 Stel heldere regels op met de instemming van de ondernemingsraad De regels voor het gedrag van werknemers moeten helder en eenduidig zijn. Bepaal wat in de organisatie is verboden of wat is toegestaan, op welke manier de gegevens worden verzameld en gebruikt, wie geautoriseerd is om de gegevens te gebruiken en onder welke omstandigheden, hoelang de gegevens worden bewaard en wat de sancties zijn op overtreding van de regels. Volgens artikel 27 WOR is de instemming van de ondernemingsraad vereist, omdat controle op e-mail- en internetgedrag als personeelsvolgsysteem moet worden geduid en loggingen van (vaste) IP-adressen en andere gegevens als het verwerken van persoonsgegevens gelden. 4.1.3 Publiceer de regels op een voor de werknemer toegankelijke wijze De regels moeten helder gecommuniceerd worden naar de werknemers. De werknemer moet weten wat is toegestaan of is verboden, dat controle mogelijk is, op welke wijze dat geschiedt en wat de consequenties zijn van zijn handelen. Op betrekkelijk eenvoudige wijze kunnen de regels tijdens het opstarten van het systeem of van het programma worden gepresenteerd op het beeldscherm van de werknemer. Op deze wijze wordt gegarandeerd dat de werknemer zich van de regels bewust is. 4.1.4 Stel vast in hoeverre priv�-gebruik van de faciliteiten is toegestaan Een werkgever is bevoegd om regels te stellen omtrent de mate waarin priv�-gebruik van e-mail en internet is toegelaten. In het algemeen zal echter een beperkte vorm van priv�-gebruik worden toegestaan evenals bij telefoneren gebruikelijk is. Overigens zou ook bij een algeheel verbod op priv�-gebruik de werkgever nog niet het recht hebben om continu het gebruik te controleren. Dit zou immers een ingrijpende en niet-evenredige inmenging in het functioneren van de werknemers betekenen. Continue controle wordt door de Arbeidsomstandighedenwetgeving dan ook met reden als schadelijk gezien voor de gezondheid en het welzijn van de werknemer en zal in het algemeen ook niet kunnen worden gekwalificeerd als goed werkgeverschap. Gesteld dat een werkgever een algemeen verbod op priv�-gebruik wil invoeren dan is daar in elk geval moeilijk controle op uit te oefenen. 4.1.5 Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk Het is raadzaam om het verboden gebruik in te bouwen in de software die binnen de organisatie wordt gebruikt om te e-mailen of te internetten. In veel gevallen zal dat kunnen door 'content-filtering' (het scannen van berichten of bestanden op verboden woorden of extensies), door het afsluiten van websites of nieuwsgroepen, het stoppen van de doorgifte, enzovoorts. Hierdoor is overtreding van het beleid feitelijk vrijwel onmogelijk en is er geen grond meer voor een continue of actieve controle en logging op het gebruik van de faciliteiten. Ook is het mogelijk om toepassingen volledig af te sluiten door de daarvoor benodigde software zelf niet aan te bieden. Internet kent veel verschijningsvormen met ieder zijn eigen toepassingsmogelijkheden en gebruikssoftware. Als een werkgever bijvoorbeeld niet wenst dat zijn werknemers tijd besteden aan chatten, zal hij geen chat-programma ter beschikking moeten stellen. Verder zal hij het gebruik ervan ook moeten verbieden om te voorkomen dat werknemers deze software zelf meenemen. Een beoordeling van voor- en nadelen van toepassingsmogelijkheden en ter beschikking gestelde programma's is noodzakelijk. 4.1.6 Anonimiseer rapportages en gebruiksstatistieken Als het gebruikelijk is om het management rapportages en gebruiksstatistieken van het e-mail- en internetgebruik van de werknemers te verstrekken, is het doorgaans niet noodzakelijk om dat op persoonsniveau te doen. De gegevens in de rapportages en statistieken zullen dus meestal ontdaan kunnen worden van hun identificerende kenmerken. Alleen als er concrete bedenkingen bestaan tegen een bepaalde werknemer, is rapportage op persoonsniveau noodzakelijk en dan ook toegestaan. 4.1.7 Houdt rekening met de back-ups van het systeem Als men zorgvuldig met informatiesystemen omgaat, zal men regelmatig back-ups van de systemen maken om in geval van nood eenvoudig terug te kunnen keren naar een werkend systeem. Dit betekent dat ook loggings en andere gegevens over het e-mail- en internetgedrag van werknemers worden geback-upt. De werkgever moet zich ervan bewust zijn dat onzorgvuldig of onbevoegd gebruik van deze back-ups even schadelijk kan zijn voor de persoonlijke levenssfeer van de werknemer als onzorgvuldig of onbevoegd gebruik van het actuele systeem. Back-ups dienen derhalve op een veilige plaats bewaard te worden. Nadat gegevens zijn aangepast zal zo snel mogelijk een nieuwe back-up gemaakt moeten worden en moeten oude versies worden vernietigd, zodat de gegevens niet na een eventuele terugplaatsing van een back-up nogmaals moeten worden aangepast. 4.1.8 Garandeer de integriteit van de systeembeheerder De systeembeheerder heeft uit hoofde van zijn functie via een speciale username/password-combinatie toegang tot alle gegevens in het computernetwerk. Dit maakt de functie van de systeembeheerder tot een functie die met de nodige waarborgen moet worden omgeven. Allereerst moet de systeembeheerder zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, niet zonder meer openbaar maakt. Hij heeft dus een soort vertrouwensfunctie. Het opleggen van een geheimhoudingsplicht aan de systeembeheerder is vereist (zie ook artikel 12, lid 2 WBP). De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten of e-mail of het real-time meekijken met het internetgebruik van de werknemers zonder dat daar een bijzondere aanleiding toe is. De systeembeheerder moet tegenover het management een zekere onafhankelijkheid hebben. Een systeembeheerder moet zich als ondergeschikte medewerker niet in een positie gebracht voelen waarin hij opdrachten van het management niet op basis van zijn professionaliteit en de hierboven beschreven regels kan uitvoeren. Er moet dus een heldere procedure bestaan die antwoord geeft op de vraag wie in welke gevallen de systeembeheerder opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen. 4.1.9 Bespreek geconstateerd gedrag zo spoedig mogelijk met betrokkene Werknemers waarvan geconstateerd is dat zij zich niet aan de regels van het bedrijfsbeleid houden, dienen zo spoedig mogelijk op hun gedrag te worden aangesproken. Een zekere tijd voor dossieropbouw is toegestaan indien de omstandigheden daartoe aanleiding geven. 4.1.10 Bied inzage in de gegevens Indien de werknemers de mogelijkheid wordt geboden om de loggegevens van het netwerk- en internetgebruik in te kunnen zien, zal dit het wantrouwen in de geautomatiseerde controle voor een groot deel kunnen wegnemen. Zij kunnen immers zelf zien wat de werkgever van hen vastlegt. Dit betekent dat de loggegevens in begrijpelijke vorm moeten worden weergegeven en met enige regelmaat moeten worden ververst. 4.1.11 Evalueer periodiek de regels Regels verouderen omdat de organisatie, de omgeving waarin zij verkeert en de technische mogelijkheden wijzigen. Het is dan ook zaak periodiek de regels te evalueren zodat tijdig bijstelling kan plaatsvinden. 4.2 E-mail/internet Controle van e-mail is op zichzelf niet verboden. De werkgever is bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik van e-mail-faciliteiten of bepaalde soorten gebruik te verbieden. De werkgever zal wel de doeleinden moeten bepalen waarvoor hij controle noodzakelijk acht. De maatregelen moeten in een redelijke verhouding staan tot de belangen van de werknemer. Via e-mail zal de werknemer immers niet alleen zakelijk communiceren, maar in sommige gevallen ook priv�-zaken afhandelen. Eveneens zal de werknemer de ruimte moeten worden gelaten om zijn werkzaamheden naar eigen inzicht te verrichten zonder dat zijn baas voortdurend over zijn schouder meekijkt. Continue controle op e-mail - met name op de inhoud ervan - doet daaraan afbreuk. Op grond van de belangenafweging moet de werkgever vervolgens het minst vergaande middel kiezen. In het algemeen dient de werkgever rekening te houden met het recht op vertrouwelijke communicatie van zijn werknemers. Evenals controle op e-mail is controle op het internetgebruik van werknemers toegestaan. Met name is de werkgever bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik (bijv. tijd en plaats) of bepaalde soorten gebruik te verbieden. Ook hier geldt dat de genomen maatregelen in een redelijke verhouding moeten staan tot de belangen van werknemer en dat de gebruikte middelen niet een verdergaande inbreuk mogen maken op die belangen dan strikt noodzakelijk is. Gelet op het voorgaande is het verstandig om bij de vormgeving van het beleid rekening te houden met de volgende vuistregels: 4.2.1 Zorg voor een scheiding in zakelijke mail en priv�-mail; zo dit niet mogelijk is, ontzie priv�-mail dan zoveel mogelijk Indien de werkgever er geen bezwaar tegen heeft dat werknemers het e- mailsysteem gebruiken voor priv�-doeleinden, is het vanuit het oogpunt van de bescherming van de persoonlijke levenssfeer van de werknemers wenselijk om de zakelijke mail van de priv�-mail te scheiden. Dit kan bijvoorbeeld door de werknemer twee mailadressen aan te bieden, waarvan er ��n zakelijk en ��n priv� is. De werknemer kan de mogelijkheid worden geboden om de mailbox met priv�-mail met een password te beveiligen. Zakelijke e-mail kan dan bij afwezigheid van de werknemer door anderen worden geopend zonder gevaar voor inbreuk op de privacy van de werknemer. Indien scheiding tussen zakelijke en priv�-mail niet mogelijk blijkt, dient de werkgever er rekening mee te houden dat er priv�-berichten worden ontvangen en verstuurd. Hoewel een werkgever in beginsel het recht heeft priv�-gebruik te verbieden, moet worden aangenomen dat hij ook in dat geval geen recht heeft om alle e-mail inhoudelijk te controleren. Met name ontvangen priv�-mail dient te worden ontzien vanwege het feit dat de werknemer daarover weinig controle heeft. Dit ligt anders als de werkgever gewichtige redenen heeft om van het bericht kennis te nemen. Ook voor controle van verstuurde priv�-mail moet de werkgever een gewichtige reden kunnen aantonen. 4.2.2 Beperk de controle tot het vooraf geformuleerde doel; voorzie in controlemechanisme die op de doeleinden zijn toegesneden Een werkgever kan meerdere redenen hebben om e-mail of internetgebruik te willen controleren. Deze doeleinden stellen voorwaarden en beperkingen aan de omvang en de wijze van controle. Veel voorkomende doeleinden zijn: 4.2.2.1 Begeleiding/individuele beoordeling E-mail: In het kader van begeleiding of individuele beoordeling van werknemers kan controle op de inhoud van de zakelijke e-mail aan de orde zijn. Dit moet dan wel rechtstreeks verband houden met diens taken. Zo kan een helpdesk-medewerker tot wiens taak het behoort om per e-mail met klanten te communiceren aan een steekproefsgewijze inhoudelijke controle onderworpen worden. In deze situatie is het wenselijk om de mogelijkheid van controle vast te leggen in de arbeidsovereenkomst. De berichten moeten zo spoedig mogelijk worden ge�valueerd. Indien dit is gebeurd, is er geen noodzaak om het bericht nog langer te bewaren. Internet: Het doeleinde begeleiding en individuele beoordeling zal in de meeste organisaties geen rol spelen. Voor zover dat wel het geval is (bijv. in geval van documentalisten die externe bronnen of online vakliteratuur moeten raadplegen), dienen de regels voor controle op e-mail overeenkomstig te worden toegepast. 4.2.2.2 Bewijs/archief E-mail: Vaak is een kopie van e-mail gewenst vanwege de behoefte aan bewijs van zakelijke transacties of dossiervorming. Op dit punt zullen de procedures die gelden voor het archiveren van berichten op papier doorgaans van overeenkomstige toepassing zijn. 4.2.2.3 Systeem- en netwerkbeveiliging E-mail: Vanuit beveiligingsoogpunt is het wenselijk om e-mail te controleren. Het kan dan gaan om het tegengaan van systeemaanvallen door virussen, trojans of andere schadelijke programma's. Bij deze controle verdient een geheel geautomatiseerde controle van de inkomende berichten en de bijlagen de voorkeur. Indien een besmet bericht gevonden wordt, kan dit op een aparte locatie worden bewaard voor nader onderzoek en eventuele herstelwerkzaamheden. Uiteraard wordt hierbij geen onderscheid gemaakt in zakelijke en priv�-mail. Internet: Vanuit beveiligingsoogpunt is het meestal wenselijk om internetgebruik te controleren. Het kan dan gaan om het tegengaan van systeemaanvallen door virussen, trojans of andere schadelijke programma's. Voor dit doel verdient een geheel geautomatiseerde controle van de inkomende content de voorkeur, mits de controle tot dit doel beperkt blijft. Indien het voor de inhoud van de functie van de medewerkers niet noodzakelijk is dat zij steeds toegang hebben tot internet, kan dit doel eenvoudig bereikt worden door de toegang aan te bieden op aparte computers die niet aan het interne netwerk zijn verbonden. 4.2.2.4 Bedrijfsgeheimen E-mail: Een werkgever die zich tegen het uitlekken van bedrijfsgeheimen wil wapenen, zou de inhoud van de uitgaande berichten en de bijlagen kunnen controleren. Het controleren van e-mail zal echter slechts een beperkt middel zijn, vanwege de andere (een vaak betere) mogelijkheden die daarvoor aan te wenden zijn. Indien e-mailcontrole hiervoor toch wordt ingezet, heeft geautomatiseerde controle middels content-filtering de voorkeur. Een verdacht bericht kan apart worden gezet voor nader onderzoek. Onderscheid tussen priv�- en zakelijke mail is niet van belang. NB. In dit verband is het van belang zich te realiseren dat het voor de gebruiker eenvoudig is om deze controle te omzeilen (zie ook de opmerkingen in paragraaf 2.3). Internet: Controle op het uitlekken bedrijfsgeheimen zal moeten geschieden door middel van content-filtering. Dit is niet geschikt voor alle vormen van internetgebruik. Een organisatie die het internetgebruik van de werknemers met het oog hierop wil controleren, doet er dus verstandig aan aandacht te besteden aan de verscheidenheid van internet en bepaalde vormen (met name daar waar uploading mogelijk is, zoals FTP en Chat) wellicht geheel te verbieden. Bedenk wel dat in dat geval ook het onderhoud van websites niet meer mogelijk is. Overigens kleeft het risico van uitlekken van bedrijfsgeheimen ook aan het verzenden van e-mail. 4.2.2.5 Voorkomen van negatieve publiciteit E-mail: Werknemers kunnen via e-mail de goede naam van een organisatie behoorlijk aantasten. Het plegen van strafbare feiten, seksuele intimidatie of discriminerende uitingen geschiedt immers onder gebruikmaking van het e-mailadres van de organisatie. Ook hier verdient het de voorkeur om controle geheel geautomatiseerd te laten plaatsvinden middels content-filtering. Verdachte berichten - zowel inkomende als uitgaande - dienen zo mogelijk (geautomatiseerd) te worden teruggestuurd aan de afzender, waardoor vastlegging van de inhoud van het bericht niet nodig is. Slechts indien sprake is van herhaaldelijke pogingen van een medewerker om dergelijke berichten te versturen, kan de werkgever deze uitnodigen om het een en ander toe te lichten (zie 4.1.9). Internet: Indien men gebruik maakt van internetdiensten via een ISP, is dit doel betrekkelijk eenvoudig te bereiken door de naam van de organisatie uit alle internetverkeer te verwijderen. In veel programma's wordt men geacht gebruikersgegevens (naam, organisatienaam, e-mailadres, reply-adres) in te vullen. Deze gebruikersgegevens worden bij het internetgebruik steeds meegezonden. Door deze gegevens achterwege te laten, wordt veel negatieve publiciteit voorkomen omdat de gebruiker of de organisatie bij de beheerder van de website dan onbekend is. Ook kan gebruik worden gemaakt van een proxyserver bij een betrouwbare serviceprovider. Uiteraard vormt dit geen vrijbrief voor werknemers om zich te misdragen op het internet. Steekproefsgewijze controle is mogelijk (zie punt 4.2.2.7). Het voorgaande geldt niet voor internetverkeer via vaste IP-adressen. Deze zijn immers altijd herleidbaar op een organisatie. In dat geval kan een werkgever internetverkeer van de werknemer controleren. Dit zal hij echter slechts steekproefsgewijs kunnen doen. 4.2.2.6 Tegengaan van seksuele intimidatie E-mail: Via e-mail kan eenvoudig seksuele intimidatie worden gepleegd. Zowel de inhoud van het bericht als de bijlagen kunnen seksueel intimiderend zijn. Ook is het niet ingewikkeld om de afzender van een bericht te maskeren. Een werkgever die het beleid hiervoor wil handhaven, kan inkomende berichten onderwerpen aan een geautomatiseerde controle. Zo kan de tekst gescand worden op verboden woorden en kunnen bijlagen nader bekeken worden, als daar gezien de situatie aanleiding voor is. Verdachte berichten dienen (geautomatiseerd) te worden teruggestuurd aan de afzender. Internet: Het tegengaan van seksuele intimidatie via internet (bijv. in Chat-sessies) is lastig. Bepaalde vormen zijn volstrekt ongeschikt om te controleren met het oog op dit doel. In dit kader past een meer repressieve benadering middels een klachtenprocedure. 4.2.2.7 Naleving afspraken over verboden gebruik Een goed beleid voorziet in heldere regels over het gebruik van e-mail en internet die op een toegankelijke manier aan de werknemers kenbaar zijn gemaakt. Veel werkgevers zullen de behoefte hebben om bepaalde soorten gebruik te verbieden. Het zal dan gaan om gokken, het versturen van kettingbrieven, het bekijken of verspreiden van pornografisch materiaal, het doen van discriminerende of seksueel intimiderende uitingen of het downloaden of versturen van illegale software of omvangrijke bestanden die veel beslag leggen op de beschikbare capaciteit. Een werkgever kan de behoefte hebben om te controleren of deze regels ook worden nageleefd. Dit doel rechtvaardigt echter niet een continue controle en de daarmee gepaard gaande verregaande inbreuk op de persoonlijke levenssfeer van de werknemer. In de regel zal de controle op naleving van de afspraken slechts steekproefsgewijs mogen geschieden. Indien echter een werknemer of een groep werknemers ervan worden verdacht de regels te overtreden, kan gedurende een vastgestelde (korte) periode gerichte controle plaatsvinden (zie 4.2.3). 4.2.2.8 Kosten- en capaciteitsbeheersing E-mail: Uiteraard kost het versturen van e-mail geld en legt het beslag op de beschikbare capaciteit van het netwerk. Het kostenaspect is met name aan de orde als de e-mailverbinding via de telefoon verloopt. De tijd die het kost om de mail te versturen, is gerelateerd aan de hoeveelheid berichten en de omvang ervan. Dit vertaalt zich in het aantal telefoontikken en dus in de hoogte van de telefoonrekening. Door vastlegging van de verkeersgegevens kan de medewerker worden aangesproken op zijn mailgedrag. Kennisneming van de inhoud van de mail is voor dit doel niet noodzakelijk. Ook voor capaciteitsbeheersing is controle op inhoud niet noodzakelijk. De controle zal voor dit doel beperkt kunnen blijven tot gegevens over tijd, hoeveelheid, omvang, en dergelijke. Internet: Uiteraard kost het gebruik van internet geld. Dit is met name het geval als er alleen via de telefoon verbinding is met internet. Dit vertaalt zich in het aantal telefoontikken en dus in de hoogte van de telefoonrekening. Door vastlegging van de verkeersgegevens kan de medewerker worden aangesproken op zijn internetgedrag. Kennisneming van de inhoud van het internetgebruik is voor dit doel niet noodzakelijk. 4.2.3 Voer de controles op naleving zo beperkt mogelijk uit (maatwerk) E-mail: Indien er aanwijzingen zijn dat werknemers de regels overtreden, is vaak gedurende kortere of langere tijd gerichte controle wenselijk. Hierbij moet de omvang van de controle zo beperkt mogelijk worden gehouden. Maatwerk is derhalve vereist. Eerst dient een selectie te worden gemaakt in verdachte en niet-verdachte werknemers. Vervolgens kunnen van de verdachte werknemers de onderschepte berichten worden gescreend op een verdachte afzender of bestemming, een verdacht onderwerp, verboden woorden in de inhoud of verboden extensies van de bijlage. Berichten waarvan aannemelijk is dat het regulier verkeer betreft of waartegen ook overigens geen bedenkingen bestaan, mogen niet worden geopend. Uiteindelijk blijven alleen berichten over die afkomstig zijn van of gericht zijn aan een verdachte werknemer waarvan het onderwerp, woorden in de inhoud of de extensie van de bijlage aanleiding vormen voor een nader onderzoek. Deze berichten kunnen worden geopend. De overige berichten worden vernietigd (kopie�n) of alsnog doorgezonden (originele berichten). Internet: Indien er aanwijzingen zijn dat bepaalde werknemers de regels overtreden, is vaak gedurende kortere of langere tijd gerichte controle wenselijk. Hierbij moet de omvang van de controle zo beperkt mogelijk worden gehouden. Maatwerk is derhalve vereist. Eerst dient een selectie te worden gemaakt in verdachte en niet-verdachte werknemers of computers. Vervolgens worden van de verdachte werknemers of computers het onderschepte verkeer gescreend op een verdachte URL, een verdacht onderwerp, verboden woorden of verboden gebruik. 4.2.4 Beperk de logging van het e-mail- en internetverkeer tot de verkeersgegevens; bewaar de loggegevens niet langer dan noodzakelijk is E-mail: Het doel van het e-mailsysteem is om de berichten zo snel en effici�nt mogelijk op hun bestemming te krijgen. Daarom kan de logging op de mailserver beperkt blijven tot gegevens over de afzender, de bestemming, de datum en de tijd van het bericht. Dit zijn de zogeheten 'verkeersgegevens'. Het is doorgaans niet nodig om de verkeersgegevens lang te bewaren. Als standaard bewaartermijn kan dan ook een maand aangehouden worden. Indien er bijzondere redenen zijn om de gegevens langer te bewaren dan moet dat expliciet kunnen worden gemaakt. Internet: Het is mogelijk om op een firewall het inkomende en uitgaande internetverkeer tot op een zeer gedetailleerd niveau te loggen. In beginsel kan iedere tekst, ieder plaatje en iedere up- of download afzonderlijk worden vastgelegd via loggings. De logging dient beperkt te blijven tot de gegevens die noodzakelijk zijn voor de realisering van de vooraf gestelde doelen. Met name als priv�-gebruik is toegestaan, moet terughoudend worden omgegaan met het vastleggen van de URL op persoonsniveau. Overige loggings mogen niet plaatsvinden of dienen terstond te worden vernietigd. Het is doorgaans niet nodig om de loggings lang te bewaren. Als standaard bewaartermijn kan dan ook een maand aangehouden worden. Indien er bijzondere redenen zijn om de gegevens langer te bewaren dan moet dat expliciet kunnen worden gemaakt. Dit kan zich bijvoorbeeld voordoen indien een werknemer ervan wordt verdacht zich niet aan de vastgestelde regels te houden. 4.2.5 Ontzie geprivilegieerde informatie in elektronische berichten E-mail: Evenals andere werknemers communiceren ook leden van de ondernemingsraad en bedrijfsartsen onderling met behulp van e-mail. Voor zover zij dat doen in hun hoedanigheid als OR-lid of arts is hun e-mail beschermd en mag de werkgever daar geen kennis van nemen. De werkgever zal in zijn beleid dus rekening moeten houden met dit verschijnsel. 5 Beknopt overzicht vuistregels voor de werkgever Algemeen 1. Behandel zaken online op dezelfde manier als off line. 2. Stel heldere regels op met de instemming van de ondernemingsraad. 3. Publiceer de regels op een voor de werknemer toegankelijke wijze. 4. Stel vast in hoeverre priv�-gebruik van de faciliteiten is toegestaan. Welke software mag daarvoor gebruikt worden. 5. Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk. 6. Anonimiseer rapportages en gebruiksstatistieken. 7. Houdt rekening met de back-ups van het systeem. 8. Garandeer de integriteit van de systeembeheerder. 9. Bespreek geconstateerd gedrag zo spoedig mogelijk met betrokkene. 10. Biedt inzage in de gegevens. 11. Evalueer de regels periodiek. E-mail/internet 12. Zorg voor een scheiding in zakelijke mail en priv�-mail. Zo dit niet mogelijk is, ontzie priv�-mail dan zoveel mogelijk. 13. Beperk de controle tot het vooraf geformuleerde doel. Voorzie in op de doeleinden toegesneden controlemechanismen. Doeleinden kunnen zijn: - Begeleiding / individuele beoordeling - Bewijs / archief - Systeem- en netwerkbeveiliging - Controle op bedrijfsgeheimen - Voorkomen van negatieve publiciteit - Tegengaan van seksuele intimidatie - Naleving afspraken over verboden gebruik - Kosten- en capaciteitsbeheersing 14. Voer de controles op naleving zo beperkt mogelijk uit (maatwerk). 15. Beperk de logging van het netwerkgebruik tot de verkeersgegevens (e-mail) of de gegevens die noodzakelijk zijn voor het doel (internet). 16. Bewaar de loggegevens niet langer dan noodzakelijk is. - E-mail: 1 maand - Internet: 1 maand 17. Ontzie geprivilegieerde informatie van ondernemingsraadleden en bedrijfsartsen in elektronische berichten. Bijlage Deelnemerslijst expert-meeting woensdag 25 oktober 2000, Registratiekamer Compumatica Secure Systems BV - Mevr. P. van Schaijk FNV - Dhr. mr. H. van Steenbergen FNV Bondgenoten - Mevr. mr. S. Lieon Kennedy Van der Laan Advocaten - Mevr. mr.dr. H.H. de Vries Dhr. mr. D.J. Rutgers KPMG - Dhr. R.C. Crouwel RA Ministerie van Sociale Zaken en Werkgelegenheid - Mevr. mr.drs. S. Voortman Mevr. mr. L. Verplak Ministerie van Verkeer en Waterstaat - Dhr. ir. A. Otte (tevens ISOC) Singewald Consultants Group BV - Dhr. mr. H.J.M. Gardeniers Van Diepen van der Kroef Advocaten - Mevr. mr. B.A.J. Spiegler (namens E92 Plus) Schriftelijk gereageerd VNO-NCW Nederlandse Vereniging voor Personeelsbeleid Registratiekamer Dhr. mr.dr. U. van de Pol Dhr. mr.drs. J.H.J. Terstegge Dhr. drs. R. Schreijnders Mevr. S.M. Artz