Open for Support - Informatiebrochure
ÎÎ
Versie 2.0 • Juli 2009
© Open for Support bv
Î
ICT-gedragscode
O p e n
f o r
S u p p o r t
© Open for Support bv
Deze brochure is samengesteld door Michel van den Biggelaar voor Open for Support bv, gevestigd te Maastricht-Airport. Deze brochure is tot stand gekomen uit onderzoek gebruikmakend van diverse online en offline informatiebronnen. Zoveel mogelijk -naar onze mening- interessante informatie is voor u gebundeld in deze ‘O4S Informatiebrochure’. Alles uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotocopie, internet, e-mail of op welke wijze dan ook. Als u ons vooraf
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
maar even op de hoogte stelt.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 1
è O4S Informatiebrochure ICT-Gedragscode
Inleiding 1.
2.
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
3.
......................................................................................
3
Antwoorden op veel gestelde vragen ..................................................
4
1.1.
Waarom is een gedragscode wenselijk? ...........................................
4
1.2.
Welke voorwaarden mag een werkgever stellen? ..............................
5
1.3.
Wie bepaalt wat er in de gedragscode staat? ..................................
5
1.4.
Kan een werkgever privégebruik verbieden? ....................................
6
1.5.
Welke controlemaatregelen zijn toegestaan? ...................................
6
1.6.
Mag een werkgever stiekem controleren? ........................................
7
1.7.
Welke sancties zijn gerechtvaardigd? .............................................
8
1.8.
Waaraan moet een goede gedragscode voldoen? .............................
8
1.9.
Hoe zit het met nieuwe ontwikkelingen? .........................................
8
Vuistregels
......................................................................................
10
2.1.
Algemeen ...................................................................................
10
2.2.
Internet & e-mail ........................................................................
14
Conclusie
......................................................................................
O p e n
f o r
16
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 2
© Open for Support bv
è
Inhoudsopgave
ICT is een onmisbaar onderdeel van het bedrijfsleven geworden. Aan het gebruik van ICT-voorzieningen zijn echter risico’s verbonden. Risico’s als het gaat om privégebruik van deze faciliteiten, maar ook risico’s met betrekking tot de vaak bedrijfsgevoelige en -kritische data welke is opgeslagen in gegevensbestanden. Een gedragscode voor medewerkers is een belangrijke stap om deze risico’s te beperken en om als organisatie (meer) inzicht te krijgen in het gebruik van de ICT-faciliteiten. In een gedragscode wordt vastgelegd welke regels een organisatie hanteert, hoe wordt toegezien op naleving en wat de gevolgen kunnen zijn bij het niet naleven van deze regels. Een gedragscode creëert vooral bewustzijn en schept duidelijkheid voor zowel de organisatie als de medewerkers. In deze informatiebrochure een antwoord op de meest gestelde vragen rond het opstellen van een gedragscode.
“Excuses voor de reuk! we moet en de wacht woorden zo vaak wijzigen, dat ik ze maar tussen mijn tenen heb getatoeëerd”
Deze informatiebrochure richt zich op zowel IT-medewerkers als management- en directieleden, welke meer inzicht willen hebben in de regels omtrent het opstellen van een (ICT) gedragscode. Michel van den Biggelaar
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
Open for Support bv
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 3
© Open for Support bv
è
inleiding
antwoorden op veel gestelde vragen
In dit hoofdstuk een antwoord op de meest gestelde vragen rond het opstellen van een gedragscode.
1. 1. waarom is een gedragscode wenselijk? 1.1. E-mail, internet en de mobiele telefoon hebben zakelijke communicatie aanzienlijk eenvoudiger gemaakt. In veel opzichten hebben ze een positief effect op de productiviteit en bereikbaarheid van het bedrijf en de werknemers. Informatievergaring en communicatie gaan sneller, efficiënter en minder formeel dan voorheen. De keerzijde van deze ontwikkeling is dat werk en privé steeds vaker door elkaar heen gaan lopen. De constante open lijn naar buiten nodigt werknemers bijvoorbeeld uit om tussen de bedrijven door afleiding te zoeken op het wereldwijde web. Werkgevers zien zich geconfronteerd met de misbruikgevoeligheid van deze communicatiemiddelen. Praktijkvoorbeelden zijn er genoeg. Werknemers die onder werktijd ongewenste websites bezoeken of seksueel getinte e-mailberichten versturen, en daarmee het bedrijfsimago schaden. Werknemers die particuliere, soms zelfs concurrerende handel drijven. Werknemers die bedrijfsgevoelige informatie meenemen of zelfs verkopen. Extremen? Misschien. Iedere organisatie kent tegenwoordig voorbeelden van werknemers die buitensporig veel privé e-mailberichten versturen. Van hackers en virussen die het interne netwerk lamleggen, en daarmee een groot deel van de bedrijfsactiviteiten. Zeker is dat oneigenlijk gebruik van communicatiefaciliteiten de arbeidsproductiviteit van werknemers drastisch kan verminderen. Daarom alleen al is een gedragscode wenselijk. Wie paal en perk wil stellen aan het privégebruik van internet en e-mail, is in de praktijk vrijwel verplicht een gedragscode op te stellen. De wet vraagt zogenoemd goed werkgeverschap. Dat betekent dat werknemers duidelijkheid mogen verwachten over wat wél en wat niet van hen verlangd wordt op de werkvloer. Dat blijkt ook uit de rechtspraak. Over het algemeen erkent een rechter sancties op misbruik van e-mail of internet, bijvoorbeeld ontslag op staande voet, alleen wanneer daarover duidelijke afspraken vastliggen. Werkgevers doen er verstandig aan om de vormen van onwenselijk gedrag, de mogelijke sancties en de controlemaatregelen op naleving duidelijk in een gedragscode te beschrijven. Op die manier blijft er nauwelijks nog twijfel bestaan over de
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
gemaakte afspraken.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 4
© Open for Support bv
è
1.
Elektronische communicatiemiddelen vallen onder de bescherming van de Nederlandse privacywetgeving. Tegelijkertijd beschikken werknemers onder werktijd niet over dezelfde vrijheden als in de privé-sfeer. In ruil voor loon zijn zij verplicht om hun werkzaamheden op aanwijzing van de werkgever te verrichten. Werkgevers mogen dus voorwaarden verbinden aan het gebruik van e-mail, internet en een mobiele telefoon. Zij kunnen zelfs bepaalde vormen van gebruik verbieden. Maar het stellen van voorwaarden blijft aan de grenzen van de privacywetgeving gebonden. Dit betekent in de praktijk dat werkgevers privacybelangen van werknemers moeten meenemen in hun overwegingen. Het inperken van de privacy van werknemers moet altijd noodzakelijk en gerechtvaardigd zijn. Daarbij mogen de middelen waarmee dit gebeurt niet onevenredig zijn. In de regel geldt dat het beleid voor e-mail- en internetgebruik in overeenstemming moet zijn met het algehele bedrijfsbeleid. De online gedragsregels mogen daarbij niet sterk afwijken van de gedragsregels die gelden voor de andere communicatiemiddelen binnen het bedrijf. Werkgevers mogen niet zonder meer standaard alle uitgaande e-mail controleren. Net zomin als dat zij ieder uitgaand telefoongesprek mogen afluisteren.
Collega, je zit veel t e veel op internet!
dat.nl is.nl niet waar.nl
1.3. wie bepaald wat er in de gedragscode staat? Een gedragscode voor het gebruik van de netwerkfaciliteiten, internet en e-mail omvat
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
aldus een evenwicht tussen de belangen van het bedrijf enerzijds en de belangen van werknemers anderzijds. En dat evenwicht ligt in ieder bedrijf weer anders. Een gedragscode is een kwestie van maatwerk. Werknemers en werkgevers stellen de grenzen van correct gebruik in onderling overleg vast. Is een gedragscode eenmaal opgesteld, dan moet de ondernemingsraad of personeelsvertegenwoordiging er vervolgens nog mee instemmen voordat deze in werking kan treden. Datzelfde geldt ook wanneer een werkgever de gedragscode na verloop van tijd wil aanpassen.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 5
© Open for Support bv
è
1.2. welke voorwaarden mag een werkgever stellen?
© Open for Support bv
tempo. Daarbij kunnen de bedrijfsdoelstellingen en takenpakketten van werknemers in relatief korte tijd behoorlijk wijzigen. De markt zelf kan nieuwe manieren van communicatie noodzakelijk maken. Het kan daarom geen kwaad om een gedragscode regelmatig onder de loep te nemen en te toetsen aan de actualiteit. Welke afspraken ook gemaakt worden, transparantie is een absoluut vereiste. Werknemers moeten van de gemaakte afspraken of veranderingen daarin kennis kunnen nemen.
1.4. kan een werkgever privégebruik verbieden? De privacywetgeving brengt met zich mee dat werkgevers altijd een bepaalde mate aan informatie-uitwisseling met een persoonlijk karakter moeten respecteren. Een categorisch verbod op privégebruik van elektronische communicatiemiddelen is dan ook niet mogelijk. Het is natuurlijk niet verplicht om communicatiemiddelen ter beschikking te stellen die niet nodig zijn voor de uitoefening van de functie. Zijn deze wel noodzakelijk, dan kunnen werkgevers het privégebruik daarvan op verschillende manieren begrenzen. Dit kan bijvoorbeeld door een dagelijkse tijdslimiet voor persoonlijk berichtenverkeer vast te leggen. Daarnaast kan een werkgever specifieke vormen van gebruik uitsluiten. Hierbij is van belang dat de beperkende maatregelen een legitiem doel dienen. Denk aan een verbod op het versturen van kettingmails om bijvoorbeeld de rechten en vrijheden van anderen te waarborgen en overbelasting van het netwerk te voorkomen. Verreweg het eenvoudigst is het om zoveel mogelijk van het ongewenste gebruik technisch te beletten. Een werkgever kan het netwerk bijvoorbeeld dusdanig filteren dat het versturen van e-mails, waaraan ongewenste bestanden zijn toegevoegd, niet meer mogelijk is. Door bepaalde overtredingen in aanzet te verhinderen, hoeft de werkgever niet meer alles te controleren. De mogelijkheden voor controle op de naleving van een gedragscode zijn namelijk evenzeer aan wettelijke grenzen gebonden.
1.5. welke controlemaatregelen zijn toegestaan? De gestelde doelen rechtvaardigen zeker niet alle middelen. Aard en de omvang van controlemaatregelen moeten altijd in verhouding staan tot de beoogde doelen. Werkgevers mogen online-gedrag dan ook alleen monitoren wanneer het doel daarvan vooraf duidelijk vastgelegd is. Daarbij zijn zij verplicht om zorgvuldig om te gaan met de verzamelde gegevens. Deze mogen niet onnodig vastgelegd of voor een ander doel
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
gebruikt worden. Zolang het doel het vastleggen van gegevens persoonsniveau niet vereist, mogen werkgevers de gegevens alleen anoniem verzamelen. Kortom: de minst ingrijpende vorm van controle geniet altijd de voorkeur. Het is zeker niet de bedoeling dat een werkgever continu over de schouder van de werknemer meekijkt.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 6
è De mogelijkheden en toepassingsgebieden van online technieken veranderen in rap
© Open for Support bv
Soms is een (tijdelijke) inbreuk op de privacy van een individuele werknemer gerechtvaardigd. Bij aanwijzingen van onrechtmatig gebruik mag een werkgever verzamelde gegevens gebruiken voor nader onderzoek. Dit om het voorkomen, opsporen en vervolgen van strafbare feiten binnen het bedrijf mogelijk te maken. Ook hierbij gelden de criteria van zorgvuldigheid en evenredigheid. Vindt de controle niet op de juiste manier plaats en schendt een werkgever het recht op privacy van de werknemer onterecht, dan kan dat vervelende juridische gevolgen hebben (voor de werkgever).
1.6. mag een werkgever stiekem controleren? Iedere mogelijke inbreuk op de privacy moet transparant en kenbaar zijn voor betrokkenen. De werkgever is verplicht werknemers individueel in te lichten dat er controles (kunnen) plaatsvinden en wie welke gegevens op welke manier verzamelt. Heimelijke controle zonder waarschuwing vooraf is dus in strijd met de wet. De informatieplicht gaat echter verder dan dat. Werknemers hebben recht op inzage in de verzamelde gegevens. Daarbij mogen zij de werkgever verzoeken de informatie aan te vullen, te corrigeren, te verwijderen of af te schermen. Dit is noodzakelijk omdat controle op de herkomst van bijvoorbeeld een gedownload pornobestand soms een vertekend beeld kan geven. Sommige, op het eerste gezicht onschuldig ogende websites sturen ongevraagd bestanden mee of openen zogenoemde popups, die ongewenst beeldmateriaal tijdelijk en ongemerkt op de harde schijf opslaan. Controle zonder informatieplicht kan aldus leiden tot de onterechte conclusie dat een werknemer zich niet aan de afspraken heeft gehouden.
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
“De belangrijkst e functie op mijn pda? collega’s zien niet dat het eigenlijk een game-boy is!”
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 7
è Doorgaans is het voldoende om anoniem steekproefsgewijs controles uit te voeren.
Welke sancties acceptabel zijn bij misbruik is in eerste instantie afhankelijk van de bedrijfscultuur. Ook hier geldt dat het sanctiebeleid in lijn moet zijn met het gebruikelijke bedrijfsbeleid voor communicatiemiddelen. Het register aan mogelijke sancties is behoorlijk. Bij (aangetoond) misbruik kan een werkgever de werknemer tijdelijk toegang tot e-mail en/of internet ontzeggen, gemaakte kosten die voortvloeien uit misbruik op hem of haar verhalen, de werknemer schorsen en zelfs op staande voet ontslaan. In alle gevallen is eerst minimaal een ernstige waarschuwing vereist. Alleen als de werknemer na een waarschuwing in z’n gedrag volhardt, is een sanctie van toepassing. Werkgevers delen hun waarschuwingen het best iedere keer schriftelijk uit. Houdt het misbruik aan, dan staan werkgevers die een gedragscode hanteren per definitie juridisch sterker.
1.8. waaraan moet een goede gedragscode voldoen? Kort samengevat begint een goede gedragscode bij een heldere omschrijving van de doelstelling(en) van de code en de risico’s. Daarbij hoort een heldere omschrijving van datgene wat men onder verantwoord, integer gedrag verstaat en welke vormen van gebruik onder misbruik vallen. Een duidelijke omschrijving van de mate van privégebruik die wel toegestaan is, mag niet ontbreken. Verder moet in de gedragscode staan op welke manier de werkgever naleving mag controleren. Bij voorkeur duidelijk aangegeven per doel van de gedragscode. Dit omvat ook informatie over wie in de organisatie de gegevens verzamelt en hoe deze worden opgeslagen en al dan niet bewaard. Werknemers moeten weten op welke manier zij inzage in deze gegevens kunnen vragen en dat zij het recht hebben om de gegevens waar nodig aan te laten passen. Ten slotte moet de code vastleggen welke sancties van toepassing zijn bij overtredingen en de wijze waarop werknemers bezwaar tegen een sanctie kunnen maken. Is een gedragscode eenmaal een feit, dan is het verstandig om regelmatig te toetsen of deze nog voldoende aansluit bij de dagelijkse praktijk.
1. 9. hoe zit het met nieuwe ontwikkelingen? 1.9 Het einde van de vervlechting tussen werk en de privésfeer is voorlopig nog lang niet in zicht. Het steeds verder oprukken van de 24-uurs economie, waarin thuiswerk en
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
voortdurende bereikbaarheid gangbaar zijn, zorgt ervoor dat de grens tussen werktijd en privé verder vervaagt. Tijd van de baas is nog maar lastig te definiëren. Dit werkt het privégebruik van bedrijfsfaciliteiten in de hand. Soms dient het zelfs als rechtvaardiging ter compensatie van thuis gemaakte overuren. De vraag in hoeverre een werkgever bijvoorbeeld het computergebruik van de werknemer vanuit huis mag controleren, is niet altijd even eenvoudig te beantwoorden. In die situaties waarin werknemers uitsluitend vanuit huis inloggen op het computernetwerk van het werk, zijn de regels van de gedragscode van toepassing. Het netwerk van het werk valt onmiskenbaar onder de gezagsbevoegdheid van de werkgever.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 8
© Open for Support bv
è
1. 7. welke sancties zijn gerechtvaardigd? 1.7
© Open for Support bv
vrij kan e-mailen en surfen op internet ligt deze zaak anders. Voor het monitoren van gebruik bestaat dan geen grondslag. Nieuwe ontwikkelingen vragen om nieuwe regels. Het in toenemende mate door elkaar heen lopen van privé- en werktijd zal zaken niet eenvoudiger maken. Maar het kan in ieder geval nooit kwaad om alert te blijven en regels - waar mogelijk - op tijd bij te stellen.
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
Snap jij nou helemaal niets?
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 9
è Wanneer een werknemer een account van het werk heeft gekregen waarmee deze ook
vuistregels
Dit hoofdstuk geeft een aantal vuistregels. Vertrekpunt zijn algemene regels die gelden voor personeelsvolgsystemen in het algemeen en de controle op het gebruik van het bedrijfsnetwerk. Vervolgens komen specifieke regels aan bod voor de controle op e-mail- en internetgebruik.
2. 1. algemeen 2.1. De impact van systematische controle op het gedrag van werknemers bij het gebruik van computers is groot. De werkgever zal bij de vormgeving van zijn beleid uit moeten gaan van de loyaliteit van zijn werknemers. Permanente controle op werkprocessen draagt niet bij tot een sfeer van wederzijds vertrouwen. •
Beperk de controle tot het vooraf geformuleerde doel Een werkgever kan meerdere redenen hebben om computer- en/of internetgebruik te willen controleren. Deze doeleinden stellen voorwaarden en beperkingen aan de omvang en de wijze van controle. Veel voorkomende doeleinden zijn:
•
•
begeleiding en/of individuele beoordelingen;
•
vastleggen van bewijs en/of archief;
•
systeem- en netwerkbeveiliging;
•
beschermen van bedrijfsgeheimen;
•
voorkomen van negatieve publiciteit;
•
tegengaan van seksuele intimidatie;
•
kosten- en capaciteitsbeheersing.
Behandel zaken online op dezelfde manier als offline Werknemers doen hun taken op een bepaalde manier. Zij kunnen daar vaak verschillende methoden voor gebruiken. Als men iets wil mededelen aan een ander, kan men naar die ander toe gaan voor een persoonlijk gesprek, men kan dit ook telefonisch doen, een brief schrijven of een fax versturen. Men kan hetzelfde bericht ook e-mailen. Ook het gebruik van internet kan vergeleken worden met andere vormen van omgang met bijvoorbeeld informatie. Men kan achter een bureau de krant lezen, maar ook op internet. Een werknemer kan even langs het reisbureau gaan, maar hij kan ook online informatie krijgen. Men kan een bestand op diskette versturen, maar ook via FTP of e-mail. In het algemeen
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
dient de werkgever er bij de vaststelling van zijn beleid rekening mee te houden dat de werknemer alternatieve wegen kan bewandelen om hetzelfde doel te bereiken. Het verbieden van een privé e-mail zal in het algemeen onredelijk zijn als men een privé-telefoontje wel toestaat. Zo geldt dit ook voor andere zaken. Het beleid voor online gedrag moet dus in overeenstemming zijn met het beleid voor off line gedrag.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 10
© Open for Support bv
è
2.
Publiceer de regels op een voor de werknemer toegankelijke wijze
© Open for Support bv
De regels moeten helder gecommuniceerd worden naar de werknemers. De werknemer moet weten wat is toegestaan of is verboden, dat controle mogelijk is, op welke wijze dat geschiedt en wat de consequenties zijn van zijn handelen. Op betrekkelijk eenvoudige wijze kunnen de regels - eventueel verkort - tijdens het opstarten van het systeem of van het programma worden gepresenteerd op het beeldscherm van de werknemer. De regels kunnen in een intranetomgeving worden opgenomen, of geplaatst op een centrale lokatie - een netwerkschijf waar alle medewerkers toegang tot hebben. Op deze wijze wordt gegarandeerd dat de werknemer zich van de regels bewust is. •
Stel vast in hoeverre privégebruik is toegestaan Een werkgever is bevoegd om regels te stellen omtrent de mate waarin privégebruik van e-mail en internet is toegelaten. In het algemeen zal een beperkte vorm van privégebruik worden toegestaan evenals bij telefoneren gebruikelijk is. In zijn algemeenheid is een totaal verbod op privégebruik van e-mail en internet niet aanvaardbaar. Alleen bij communicatiefaciliteiten met een specifieke doelstelling, kan het privégebruik verboden worden. De werknemer moet dan wel andere communicatiemogelijkheden ter beschikking hebben. Overigens zou ook bij een algeheel verbod op privégebruik de werkgever nog niet het recht hebben om continu het gebruik te controleren. Dit zou immers een ingrijpende en niet-evenredige inmenging in het functioneren van de werknemers betekenen. Continue controle wordt door de wetgeving dan ook met reden als schadelijk gezien voor de gezondheid en het welzijn van de werknemer en zal in het algemeen ook niet kunnen worden gekwalificeerd als goed werkgeverschap.
•
Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk Het is raadzaam om het verboden gebruik in te bouwen in de software die binnen de organisatie wordt gebruikt. Hierdoor is overtreding van het beleid feitelijk vrijwel onmogelijk en is er geen grond meer voor een continue of actieve controle en logging op het gebruik van de faciliteiten. Ook is het mogelijk om toepassingen volledig af te sluiten door de daarvoor benodigde software zelf niet aan te bieden. Als een werkgever bijvoorbeeld niet wenst dat zijn werknemers tijd besteden aan chatten, zal hij geen chat-programma ter beschikking moeten stellen. Verder zal hij het gebruik ervan ook moeten verbieden om te voorkomen dat werknemers deze software zelf meenemen. Een beoordeling van voor- en nadelen van toepassingsmogelijkheden en ter beschikking gestelde programma’s is noodzakelijk.
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
•
Anonimiseer rapportages en gebruiksstatistieken Als het gebruikelijk is om het management rapportages en gebruiksstatistieken van, bijvoorbeeld applicatie- en internetgebruik van de werknemers te verstrekken, is het doorgaans niet noodzakelijk om dat op persoonsniveau te doen. De gegevens in de rapportages en statistieken zullen dus meestal ontdaan kunnen worden van hun identificerende kenmerken. Alleen als er concrete bedenkingen bestaan tegen een bepaalde werknemer, is rapportage op persoonsniveau noodzakelijk en dan ook toegestaan.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 11
è •
O4S Informatiebrochure ICT-Gedragscode • pagina 12
© Open for Support bv
è “nee, we maken nooit back-ups van onze data... we hebben liever geen definitief bewijs van alle fouten die we maken!”
•
Houdt rekening met de back-ups van het systeem Als men zorgvuldig met informatiesystemen omgaat, zal men regelmatig back-ups van de systemen maken om in geval van nood eenvoudig terug te kunnen keren naar een werkend systeem. Dit betekent dat van loggingen en andere gegevens over het computergebruik en internetgedrag van werknemers een back-up wordt gemaakt. De werkgever moet zich ervan bewust zijn dat onzorgvuldig of onbevoegd gebruik van deze back-ups even schadelijk kan zijn voor de persoonlijke levenssfeer van de werknemer als onzorgvuldig of onbevoegd gebruik van het actuele systeem. Back-ups dienen derhalve op een veilige plaats bewaard te worden. Nadat gegevens zijn aangepast zal zo snel mogelijk een nieuwe back-up gemaakt moeten worden en moeten oude versies worden vernietigd, zodat de gegevens niet na een eventuele terugplaatsing van een back-up nogmaals moeten worden aangepast.
•
Garandeer de integriteit van de systeembeheerder De systeembeheerder heeft uit hoofde van zijn functie toegang tot alle gegevens in het computernetwerk. Dit maakt de functie van de systeembeheerder tot een functie die met de nodige waarborgen moet worden omgeven. Allereerst moet de systeembeheerder zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, niet zonder meer openbaar maakt. Hij heeft dus een soort vertrouwensfunctie. Het opleggen van een geheimhoudingsplicht aan de systeembeheerder is vereist. De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten of e-mail of het real-time meekijken met het computer- of internetgebruik van de werknemers zonder dat daar een bijzondere
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
aanleiding toe is. De systeembeheerder moet tegenover het management een zekere onafhankelijkheid hebben. Een systeembeheerder moet zich als ondergeschikte medewerker niet in een positie gebracht voelen waarin hij opdrachten van het management niet op basis van zijn professionaliteit en de hierboven beschreven regels kan uitvoeren. Er moet dus een heldere procedure bestaan die antwoord geeft op de vraag wie in welke gevallen de systeem-beheerder opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen.
O p e n
f o r
S u p p o r t
Bespreek geconstateerd gedrag zo spoedig mogelijk
© Open for Support bv
Werknemers van wie geconstateerd is dat zij zich niet aan de regels van het bedrijfsbeleid houden, dienen zo spoedig mogelijk op hun gedrag te worden aangesproken. Een zekere tijd voor dossieropbouw is toegestaan indien de omstandigheden daartoe aanleiding geven. •
Biedt inzage in de gegevens Indien de werknemers de mogelijkheid wordt geboden om de loggegevens van het netwerk- en internetgebruik in te kunnen zien, zal dit het wantrouwen in de geautomatiseerde controle voor een groot deel kunnen wegnemen. Zij kunnen immers zelf zien wat de werkgever van hen vastlegt. Dit betekent dat de loggegevens in begrijpelijke vorm moeten worden weergegeven en met enige regelmaat moeten worden ververst.
•
Stel heldere regels op (met de instemming van de OR) De regels voor het gedrag van werknemers moeten helder en eenduidig zijn. Bepaal wat in de organisatie is verboden of wat is toegestaan, op welke manier de gegevens worden verzameld en gebruikt, wie geautoriseerd is om de gegevens te gebruiken en onder welke omstandigheden, hoelang de gegevens worden bewaard en wat de sancties zijn op overtreding van de regels. Instemming van de ondernemingsraad, indien bestaand, is vereist. Dit omdat controle op e-mailen internetgedrag als personeelsvolgsysteem moet worden geduid en loggingen van (vaste) IP-adressen en andere gegevens als het verwerken van persoonsgegevens gelden.
•
Evalueer periodiek de regels Regels verouderen omdat de organisatie, de omgeving waarin zij verkeert en de technische mogelijkheden wijzigen. Het is dan ook zaak periodiek de regels te
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
evalueren zodat tijdig bijstelling kan plaatsvinden.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 13
è •
Controle van e-mail is op zichzelf niet verboden. De werkgever is bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik van e-mail-faciliteiten of bepaalde soorten gebruik te verbieden. De werkgever zal wel de doeleinden moeten bepalen waarvoor hij controle noodzakelijk acht. De maatregelen moeten in een redelijke verhouding staan tot de belangen van de werknemer. Via e-mail zal de werknemer immers niet alleen zakelijk communiceren, maar in sommige gevallen ook privé-zaken afhandelen. Eveneens zal de werknemer de ruimte moeten worden gelaten om zijn werkzaamheden naar eigen inzicht te verrichten zonder dat zijn baas voortdurend over zijn schouder meekijkt. Continue controle op e-mail, met name op de inhoud ervan, doet daaraan afbreuk. Evenals controle op e-mail is controle op het internetgebruik van werknemers toegestaan. Met name is de werkgever bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik (bijvoorbeeld tijd en plaats) of bepaalde soorten gebruik te verbieden. Ook hier geldt dat de genomen maatregelen in een redelijke verhouding moeten staan tot de belangen van werknemer en dat de gebruikte middelen niet een verdergaande inbreuk mogen maken op die belangen dan strikt noodzakelijk is. Het is dan ook verstandig om bij de vormgeving van het beleid rekening te houden met de volgende vuistregels:
“...we lett en niet zo op de beveiliging van onze data. we hopen dat onze concurrent en onze ideeën stelen en daarmee even onsuccesvol worden als wij zijn....!”
•
Ontzie privé-mail zoveel mogelijk Het is vanuit het oogpunt van de bescherming van de persoonlijke levenssfeer
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
van de werknemers wenselijk om een onderscheid te maken tussen zakelijke en privé e-mail. Zakelijke e-mail kan dan bij afwezigheid van de werknemer door anderen worden geopend zonder gevaar voor inbreuk op de privacy van de werknemer. Zo kan een werkwijze zijn om bij de onderwerpsaanduiding aan te geven dat het een privé e-mail betreft. Bij controle dient met name de inhoud van de privé e-mailberichten zoveel mogelijk te worden ontzien. Dit ligt anders als de werkgever gewichtige redenen heeft om van het bericht kennis te nemen.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 14
© Open for Support bv
è
2.2. internet & e-mail
Ontzie geprivilegieerde informatie in elektronische berichten
© Open for Support bv
Evenals andere werknemers communiceren ook leden van de OR en bedrijfsartsen onderling met behulp van e-mail. Voor zover zij dat doen in hun hoedanigheid als OR-lid of arts is hun e-mail beschermd en mag de werkgever daar geen kennis van nemen. Dit betekent niet dat er geen controle op de veiligheid van het berichtenverkeer mag plaats vinden. De werkgever zal in zijn beleid dus rekening moeten houden met beroepsgeheim of ander recht op vertrouwelijkheid. •
Voer de controles op naleving zo beperkt mogelijk uit Indien er aanwijzingen zijn dat werknemers de regels overtreden ten aanzien van het e-mailgebruik, is vaak gedurende kortere of langere tijd gerichte controle wenselijk. Hierbij moet de omvang van de controle zo beperkt mogelijk worden gehouden. Maatwerk is derhalve vereist. Eerst dient een selectie te worden gemaakt in verdachte en niet-verdachte werknemers. Vervolgens kunnen van de verdachte werknemers de onderschepte berichten worden gescreend op een verdachte afzender of bestemming, een verdacht onderwerp, verboden woorden in de inhoud of verboden extensies van de bijlage. Berichten waarvan aannemelijk is dat het regulier verkeer betreft of waartegen ook overigens geen bedenkingen bestaan, mogen niet worden geopend. Uiteindelijk blijven alleen berichten over die afkomstig zijn van of gericht zijn aan een verdachte werknemer waarvan het onderwerp, woorden in de inhoud of de extensie van de bijlage aanleiding vormen voor een nader onderzoek. Deze berichten kunnen worden geopend. De overige berichten worden vernietigd (kopieën) of alsnog doorgezonden (originele berichten).
•
Beperk de logging tot de verkeersgegevens Het doel van het e-mailsysteem is om de berichten zo snel en efficiënt mogelijk op hun bestemming te krijgen. Daarom kan de logging beperkt blijven tot gegevens over de afzender, de bestemming, de datum en de tijd van het bericht. Dit zijn de zogeheten ’verkeersgegevens’. Bewaar de verkeersgegevens niet langer dan noodzakelijk is. In het Vrijstellingsbesluit is uitgegaan van een redelijke bewaartermijn van maximaal 6 maanden voor deze persoonsgegevens. Indien er bijzondere redenen zijn om de gegevens langer te bewaren dan moet dat
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
expliciet worden gemaakt.
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 15
è •
conclusie
De diverse vormen van internet, zoals het World Wide Web en het gebruik van e-mail, leiden tot verschillende risico’s voor zowel werkgever als zeer zeker ook voor werknemer. Het is duidelijk dat ‘een bepaalde mate’ van niet-zakelijk e-mail- en internetgebruik onder werktijd niet verboden kan worden. Het is dan ook van belang dat er tussen werkgever en werknemer duidelijke afspraken worden gemaakt met betrekking tot het gebruik van internet. Het is voor werkgevers veiliger om een duidelijk beleid hierin te hebben. Bij voorkeur een uitgeschreven beleid dat door elke individuele werknemer wordt ondertekend. Dit is een ieder geval een juridisch vereiste op het moment dat werkgever technische ‘gereedschappen’ gaat inzetten om toe te zien op het e-mail- en internetgebruik van zijn medewerkers. Michel van den Biggelaar
èè
Vragen? Bel ons op 043 88 000 88 of kijk op www.o4s.nl
Open for Support bv
O p e n
f o r
S u p p o r t
O4S Informatiebrochure ICT-Gedragscode • pagina 16
© Open for Support bv
è
3.