Het BELTUG-antwoord op de publieke consultatie over cybersurveillance of elektronisch toezicht op de werkvloer – 30 november 2011 BELTUG juicht het initiatief van de privacycommissie toe, om met een duidelijk overzicht te komen van richtlijnen naar werkgevers én werknemers. Als vereniging van ICT beslissers in België merken we dat heel wat bedrijven werk (willen) maken van goede afspraken of een ‘corporate policy’, maar toch blijven we nog veel concrete vragen krijgen. Onze leden worden geconfronteerd met vragen over privé en professioneel gebruik; maar ook met ‘wat mag ik opslaan’ of ‘hoelang moet ik de gegevens bijhouden’. Idealiter gelden dezelfde aanbevelingen in de private als in de publieke sector. De aanbevelingen van de privacycommissie kunnen hier zeker bij helpen. We hebben de aanbevelingen concreet bekeken met een aantal ICTverantwoordelijken en we zien nog een aantal aandachtspunten. BELTUG vindt de aanbevelingen een zeer goede aanzet maar vindt er nog te weinig het gebruik van nieuwe media en technologie, die wel een realiteit zijn in onze bedrijven, in terug. BELTUG publiceerde vorig jaar ‚Aanbevelingen bij een Corporate Policy bij het gebruik van de communicatiemiddelen van de werkgever‛. De problematiek van de werkgeverscontrole komt hierin aan bod. Een update van dit document is gepland in 2012. Immers, geen enkel ander document van BELTUG is zoveel geraadpleegd; over geen enkel ander onderwerp krijgen we zoveel vragen. Net omdat we zo dicht bij de bedrijven staan, en zien hoe deze problematiek leeft, ook bij niet-juristen, hebben we getracht deze reactie zoveel mogelijk te brengen vanuit de praktijk. We hopen dan ook op vele van onze vragen een
Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 1
antwoord te krijgen. Dit zou ons toelaten naar de aanbevelingen van de privacycommissie te verwijzen.
1
TOEPASSINGSGEBIED VERRUIMEN
Elektronische communicatie op de werkvloer beperkt zich niet tot e-mail of surfgedrag op de laptop/PC. De opmars van smartphones en tablets is niet meer tegen te houden. Het betekent vaak productiviteitswinst maar privé en werk zijn zo nog veel meer verweven; bijgevolg stelt de problematiek van werkgeverscontrole zich nog scherper. Vanuit organisatieoogpunt is monitoring of controle vereist. Zo moet je voor verschillende werknemers de juiste mobiele databundels kiezen, om de kosten te beheersen en voor een vlotte manier van werken te zorgen, met als extra aandachtspunten de beveiliging en confidentialiteit van de bedrijfsgegevens. Ook de snelle toename van cloud toepassingen, waarbij de gegevens niet meer bij het bedrijf zelf, maar ‚ergens‛ in een datacenter van de provider worden bewaard, stelt deze problematiek in een heel ander daglicht. BELTUG vindt het aangewezen de aanbevelingen ook vanuit het perspectief van smartphones en tablets en cloud toepassingen te bekijken. In de inleiding van het Juridisch rapport (p3, I2 punt 10) stelt men dat het document niet gaat over "telefonische communicaties, SMS of geolocatie", allicht omdat dit geregeld wordt door de telecomwet. Dit is ons inziens een gemiste kans. Bedrijven bekijken deze problematiek niet vanuit het oogpunt ‚welk wettelijk kader zit hier achter‛, maar wel vanuit hun dagdagelijkse praktijk. Bovendien zijn de gebruikte communicatiemiddelen ruimer dan e-mail en internet en lopen ze steeds meer door elkaar. Daarom vinden we dat de volgende communicatievormen ontbreken of te weinig aan bod komen: SMS/MMS, geolocatie, telefonische communicatie, tele- en videoconferencing, Instant messaging (IM) en sociale netwerken. De grijze zone wordt alleen maar groter. We verduidelijken dit hierna met een aantal voorbeelden.
Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 2
BELTUG pleit ervoor de aanbevelingen te bekijken vanuit het perspectief van gebruik van smartphones/tablets en cloud toepassingen.
2
ENKELE VOORBEELDEN OVER DE NOOD AAN VERRUIMING Meer en meer worden communicatietools bij elkaar gebracht, via Unified Communications (waarbij in één systeem telefoneren – met en zonder video- chatten en mailen geïntegreerd worden). De grens tussen de verschillende communicatiemiddelen is niet meer duidelijk. Sommige bedrijven hebben een systeem waarbij ze SMS kunnen sturen en krijgen via het e-mailsysteem zoals bv Outlook. De scheiding tussen privé en professioneel is bij SMS zeer moeilijk te maken. Bedrijven gebruiken meer en meer geolocatie in applicaties, bijvoorbeeld om een smartphone/tablet terug te vinden of voor het optimaliseren van transporten of het aansturen van Field en Sales force. Het spreekt vanzelf dat het gebruik van deze info, wanneer en waar werknemers zijn (geweest), erg gevoelig is. Ook mobiel betalen roept nieuwe vragen op: bv. SMS-parkeren, is dit privé of werk? Hoe hierover duidelijke en hanteerbare afspraken te maken. Het mobiel betalen zal de volgende jaren exponentieel toenemen.
Enkele bedenkingen m.b.t. telefonie: Voicemails en faxen komen in de e-mailbox (bv. via een wav-file). Hier kan je het privé-karakter niet aangeven via ‚privé in de header van het bericht‛. Mogelijk kan een bedrijf in de afspraken opnemen dat de werknemer privé-voicemail berichten onmiddellijk dient te verwijderen, en dat ze anders worden geacht professioneel te zijn. Verschillende regels voor “Data retention”. Er geldt een Data retention policy voor e-mail, maar niet voor spraakcommunicatie. Hoe moeten bedrijven hiermee omgaan als beide verweven zijn? Veel bedrijven gebruiken ook webconferencing of teleconferencing met de mogelijkheid om alles (de gesprekken, de chat en presentatiedocumenten) te registeren, wat achteraf handig is voor de deelnemers.
Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 3
Bedenkingen over Instant messaging IM Ook hier de vraag, wat mag en kun je als bedrijf met de informatie van de chatsessies doen? De scheiding tussen privé en professioneel is bij IM zeer moeilijk te maken en is niet mogelijk met de voorgestelde oplossingen. Het gaat om een massa gegevens. Instant messaging (chat) wordt meer en meer vanop smartphones of tablets gebruikt. Een voorbeeld is BlackBerry messenger: wat mag of kan je doen met de logs hiervan die op de corporate server staan? Standaard staat dit zo ingesteld dat bedrijven ook de tekst van de chat zelf (‚clear text‛) bewaren. En, stel dat ze worden bijgehouden, kan dan ook geïndividualiseerde controle, bv. naar aanleiding van een klacht bij de vertrouwenspersoon van de organisatie. BELTUG pleit ervoor het toepassingsgebied van de aanbevelingen te verruimen naar alle in bedrijven gebruikte communicatiemiddelen. Als de privacycommissie hierover geen aanbevelingen opstelt, blijven er veel vragen in bedrijven onbeantwoord.
3
WAT MET DE BERICHTEN, SURFEN ETC. VIA SMARTPHONES, TABLETS, …
Het document gaat nu uit van pc of laptop gebruik. Mail en internetten zijn niet meer het privilege van PC gebruikers; meer en meer worden massaal smartphones en tablets gebruikt binnen bedrijven. Zo is het verslepen van berichten naar aparte mapjes minder gemakkelijk bij smartphones. Met de nieuwe generatie ‚Mobile device management systemen‛ kan een bedrijf de gebruikersprofielen beheren en de kosten en bandbreedte monitoren. Dit is nodig om het risico op ‘bill shocks’ (heel hoge onverwachte facturen) onder controle te krijgen. Daarbij zijn volgende functionaliteiten voorhanden: er is standaard geolocatie ingebouwd; handig bij verlies of diefstal.
Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 4
men kan ‚logs‛ opzetten zodat tijdstip en duur van sessies bijgehouden worden maar ook de teksten zelf van SMS/ IM kan men als pure tekst (‘clear text’) bewaren. Bij mobiele toestellen is het mengen van privé en professioneel gebruik nog veel meer aan de orde, omdat ze niet alleen tijdens de kantooruren en binnen de bedrijfsmuren worden gebruikt.
Kunnen een aantal aanbevelingen toegespitst worden op het gebruik van smartphones en tablets binnen bedrijven?
4
BEDENKINGEN BIJ GESCHEIDEN MAILBOXEN EN BACKUPS
4.1 Aparte directory We maken vanuit de praktijk graag een paar bedenkingen bij de suggestie om een aparte directory in de mail aan te maken voor privé-berichten (waar geen backups van genomen worden): Dit lijkt ons zeker werkbaar voor binnengekomen berichten maar lijkt ons in de praktijk niet gangbaar voor de verzonden berichten. De werkgever zal dus duidelijk moeten stellen dat wat niet versleept is naar de privé-map, als professionele mail wordt beschouwd (ook bij de verzonden berichten). Is deze opsplitsing beschikbaar bij e-mail in de cloud? Vaak gaat het om systemen van internationale spelers waar algemene voorwaarden gelden; wat als zij de optie van ‘niet backuppen’ van privé niet voorzien? We vermoeden dat het heel moeilijk zal zijn om af te spreken om bepaalde privé-mappen niet te backuppen. Bedrijven maken ook best afspraken over het al dan niet mogen linken van accounts, want anders is de gescheiden mailbox een maat voor niets. Hetzelfde bij nieuwe applicaties als bv. dropbox (waarbij gegevens niet lokaal op de PC worden opgeslagen maar in de cloud, zodat ze van overal via internet bewerkt kunnen worden, en op alle toestellen gesynchroniseerd
Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 5
worden) die nieuwe vragen genereren rond security en controle (privé en werk lopen daar helemaal door elkaar). 4.2 Secondary mailbox (Domain.net ) De voorgestelde secondary mailbox (Domain.net ) lijkt ons geen wenselijke oplossing, omdat niemand voor zijn privé e-mail wil gebonden zijn aan het bedrijf waarvoor hij/zij werkt. De suggestie om een secondary mailbox te maken (Domain.net) zal voor de organisaties trouwens een extra kost betekenen. Veel bedrijven zullen dit niet overwegen; bovendien riskeert men onduidelijkheid, en de werkgever zal moeten duidelijk stellen in een disclaimer dat de privémail de werkgever tot niks verbindt. 4.3
Wissen van gegevens (op afstand)
Bedrijven gaan bij verlies en diefstal van telefoon, smartphone of laptop gegevens op afstand wissen. Er blijft een risico dat daar privé-communicatie wordt bij gewist, zelfs al heeft de onderneming een policy afgesproken. Ook als een werknemer het bedrijf verlaat stelt de problematiek van het wissen van privé-informatie. Dit risico is er zeker als er van de privémappen geen backup is gemaakt. Welke afspraken of aanbevelingen lossen de problemen op van wissen van gegevens bij verlies of diefstal, vooral bij smartphones en tablets?
5
WAT MET PRIVÉTOESTELLEN VAN DE WERKNEMER, DIE GEBRUIKT WORDEN VOOR HET WERK
Meer en meer bedrijven kiezen voor een BYOD (‚bring your own device‛) politiek voor laptop, PC, smartphones en tablets. Dit document gaat uit van ‘terbeschikkingstelling’ van materiaal door de werkgever aan de werknemer; gelden de aanbevelingen ook voor privétoestellen die men professioneel gebruikt? Wat als het een privé toestel wordt gebruikt voor professionele doeleinden (via een ‘vergoeding eigen aan werkgever’)? Kan de privacycommissie stipuleren dat de aanbevelingen ook gelden voor privétoestellen die professioneel worden gebruikt? Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 6
6
6.1
VAARDIG OOK AANBEVELINGEN UIT M.B.T. CONTROLE OP DE BERICHTGEVING EN PROFIELEN OP SOCIALE MEDIA Berichten op sociale media
Hoe mogen werkgevers berichten behandelen die via Facebook, Linkedin, Twitter, ... verstuurd worden, al dan niet vanop corporate devices? Via ‘Sociale media monitoring’ tools komen mogelijk minder positieve berichten over het bedrijf of collega’s ook ‘bloot te liggen’. Wat als blijkt dat er negatieve berichten door een werknemer worden verspreid? Wat mag je hiervan controleren/bijhouden? Enkel de tijd die men op sociale media doorbrengt op het werk, bij een vermoeden van misbruik? De berichten die publiek beschikbaar zijn? Wat als ze achteraf verwijderd worden, maar er toch eerst opstonden. Vaak gebruiken werknemers een pseudoniem. Hoe past dit in de context van CAO 81? Het bedrijf weet dan niet eens dat het om een werknemer gaat.
6.2
Contacten en accounts zijn die privé of van het bedrijf?
Iedereen gaat ervan uit dat de contacten die iemand opbouwt via bv. LinkedIn, en het profiel, persoonlijk zijn. Maar: er zijn al voorbeelden in de rechtspraak waaruit je kon afleiden dat de contacten professionele contacten zijn, die niet mochten gecontacteerd worden bv. bij een niet-concurrentiebeding. Zo werd in Nederland een vertegenwoordiger veroordeeld tot 10.000 euro boete omdat hij het relatie-beding schond door een gewezen klant toe te voegen aan zijn LinkedIn contacten. (meer info) Andere vraag uit de praktijk: mag een bedrijf voor een werknemer zelf een LinkedIn profiel aanmaken, zonder zijn medeweten?
Kan de privacycommissie aanbevelingen schrijven die duidelijkheid brengen mbt het privé of professioneel karakter van profielen en berichtgeving op sociale media?
Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 7
7
WAT MET OPNAMES, SECTORIEEL VERPLICHT OF VOOR INTERNE AUDIT
Sommige bedrijven zijn verplicht om mails, maillogs en voice logs en zelfs de gesprekken woordelijk op te nemen. Voorbeeld: in de bancaire sector moet men alle mail logs op mailservers gedurende 1 jaar bijhouden; alle mails 8 jaar. De BaselIII richtlijn voor banken kapitaal vraagt bv ook voice login gesprekken op te nemen bij voor vaste telefonie en mobiele lijnen, met medewerkers in beurs, beleggingen. Sommige bedrijven nemen ook telefoons op nav interne audit voorwaarden, om achteraf geen discussies te hebben bij commerciële acties (Sarbanes & oxley). Zijn dit toegestane uitzonderingen op de regel?
Kan ook hieraan aandacht besteed worden in de privacyrichtlijnen?
8
CONCLUSIES
Allicht verwoorden we een aantal vragen en bekommernissen van ICT-beslissers waarop de antwoorden in verschillende wetten terug te vinden zijn. Met onze inbreng willen we de privacycommissie vragen om de excellente aanzet uit te breiden met onze aandachtspunten. Het is net door het samenvoegen van elementen uit de privacywet, de telecomwet, het strafrecht, het aansprakelijkheidsrecht, ... dat er een houvast komt voor deze ingewikkelde en actuele problematiek. Deze is aan de orde in elk bedrijf, en wijzigt erg snel.
Over BELTUG BELTUG is de gebruikersgroep voor bedrijven en overheidsorganisaties die gebruik maken van communicatietechnologie en -diensten. BELTUG telt intussen meer dan 1.100 leden en vormt zo een belangrijke netwerkingorganisatie voor de ICT-beslissingsnemers in ons land. BELTUG brengt bedrijven samen om ervaringen uit te wisselen, publiceert aanbevelingen en informeert via workshops en seminaries. De organisatie verdedigt ook de belangen van de ICT-gebruikers bij nationale en internationale overheden. BELTUG – Knaptandstraat 123 – 9100 Sint-Niklaas - www.beltug.be-
[email protected]
Het BELTUG-antwoord op consultatie “Cybersurveillance” – November 2011 • 8
