Infobrochure “cybersurveillance”
I. “Cybersurveillance”: een woordje uitleg Op 2 mei 2012 heeft de Privacycommissie een aanbeveling uitgebracht over werkgeverscontrole van e-mail en internetgebruik op de werkvloer (“cybersurveillance”). Deze aanbeveling werd vooraf onderworpen aan een publieke consultatie en de respons hierop heeft mee bijgedragen tot o.a. deze brochure als eindresultaat. Uitgangspunt van de aanbeveling Een werkgever mag bijvoorbeeld een e-mail van een van zijn werknemers raadplegen, of kijken wanneer die naar welke website gesurft heeft, omdat hij als werkgever de communicatie van zijn bedrijf of organisatie moet kunnen beheren. Het arbeidsrecht erkent namelijk de uitoefening van het gezag van de werkgever over de werknemer voor deze doelstelling. Een werkgever kan de elektronische communicatie van een werknemer raadplegen, enerzijds wanneer die laatste afwezig is en de dienstverlening toch moet kunnen worden verdergezet, en anderzijds in het geval van een gerichte controle op de naleving van het arbeidscontract. De werkgever moet in beide gevallen wel een aantal regels respecteren. Voor een privacyvriendelijke raadpleging van elektronische communicatie moet de werkgever de volgende drie basisbeginselen voor ogen houden: 1. hij moet een welbepaald doel voor ogen hebben; 2. hij mag niet systematisch alles controleren; 3. de betrokken werknemer moet weten dat de werkgever controles kan uitvoeren. Opgelet: dit impliceert dus niet dat de werknemer zijn toestemming moet geven, enkel dat hij hierover vooraf geïnformeerd moet zijn. Deze drie basisbeginselen zijn van toepassing op zowel professionele als persoonlijke communicatie van de gecontroleerde werknemer, al geldt een nog striktere bescherming voor de tweede categorie, die enkel relevant wordt voor de werkgever wanneer persoonlijke communicatie een correcte uitvoering van de taken van de werknemer in het gedrang brengt. In dat geval is vaak enkel de frequentie van persoonlijke boodschappen al voldoende als bewijs van misbruik, en niet de inhoud ervan.
Wanneer het informaticasysteem van de werkgever gebruikt wordt voor zowel professionele als persoonlijke communicatie, is een strikte scheiding van beide categorieën moeilijk houdbaar. In het elektronische postvak van de werknemer ziet de werkgever dan onvermijdelijk ook privémails, al was het maar de afzender of het onderwerp ervan. Daarom beveelt de Privacycommissie aan om de werknemer voor privécommunicatie een apart adres te laten gebruiken. Een bijkomend voordeel is dat er dan geen extra beschermende maatregelen nodig zijn in het professionele postvak van de werknemer, zoals privécorrespondentie systematisch laten voorafgaan door “Private” in de onderwerpregel bijvoorbeeld. Concrete tips voor de privacyvriendelijke werkgever — werk het controlebeleid uit in overleg met de werknemersvertegenwoordiging; — leg dit beleid vast in een geschreven document; — zorg ervoor dat de werknemers het controlebeleid kennen en begrijpen; — voorkomen is beter dan genezen: neem preventiemaatregelen tegen misbruik van internet en e-mail door werknemers, zoals de installatie van filters voor webbrowsers; — controleer enkel wanneer er een vermoeden van misbruik bestaat, en doe dit volgens het stappenplan van cao nr. 81; — probeer in eerste instantie enkel metagegevens te controleren (wie verstuurt welke mails en hoe vaak). Pas als die niet voldoende informatie bieden, is het gerechtvaardigd de inhoud van een e-mail te controleren; — laat de werknemer zijn pc beveiligen met een persoonlijk paswoord; — duid een specifieke persoon aan die de pc van de werknemers kan consulteren wanneer een bevoegde persoon daartoe de opdracht geeft; — respecteer altijd de drie basisbeginselen voor privacybescherming: doelgerichtheid, proportionaliteit en transparantie; — zorg ervoor dat de geconsulteerde gegevens na de controle even goed beschermd blijven als voordien;
— baseer belangrijke beslissingen tegen een werknemer niet louter op informatie die ingezameld werd tijdens een controle van persoonsgegevens en bied de betrokkene de mogelijkheid zijn standpunt naar voren te brengen; — houd logbestanden bij van wie wanneer tot welke gegevens toegang heeft gehad; — stel een personeelslid aan dat controles kan beoordelen op hun noodzakelijke en rechtmatige karakter (een zogenaamde “aangestelde voor de gegevensbescherming”); — informeer zowel werknemers als toezichthoudend personeel over goede praktijken voor gegevensbescherming. Conclusie Het arbeidsrecht erkent specifieke rechten en plichten voor zowel werkgever als werknemer. Binnen de gezagsrelatie tussen beide partijen mag de werkgever elektronische communicatie(gegevens) van de werknemer verwerken op voorwaarde dat hij de bepalingen van de Privacywet en cao 81 naleeft. De aanbevelingen van de Privacycommissie vormen daarbij een leidraad, om de belangen van de werkgever en de bescherming van de rechten van de werknemer zoveel mogelijk met elkaar te verzoenen.
II. Veelgestelde vragen Hieronder heeft de Privacycommissie de meest gestelde vragen verzameld die zij krijgt in het kader van “cybersurveillance”. Voor een uitgebreid juridisch dossier kunt u terecht op de website http://www.privacycommission.be (Privacythema’s > Themadossiers > Cybersurveillance.)
V: De wet betreffende de elektronische communicatie, die van toepas-
sing is op e-mailverkeer, verbiedt dat de werkgever kennis neemt van elektronische online communicatiegegevens die de werknemer verstuurt of ontvangt via het professionele netwerk. Mag de werkgever dan wel controles uitvoeren?
A: Artikel 124 van de wet betreffende de elektronische communicatie bevat inderdaad een aantal verbodsbepalingen. Artikel 125 van dezelfde wet bevat hierop echter een aantal uitzonderingen, bijvoorbeeld “wanneer de wet het stellen van de bedoelde handelingen toestaat of oplegt”. De Privacycommissie is van oordeel dat de arbeidsovereenkomstenwet, die het gezagsrecht van de werkgever verwoordt, een wet is die het verbod van artikel 124 opheft.
V: Worden professionele e-mails op de werkplaats wettelijk beschermd? A: Ook professionele e-mails bevatten persoonsgegevens en zijn dus niet zo maar controleerbaar (verwerkbaar) volgens de Privacywet. De werkgever moet bij controle dus de basisprincipes van de Privacywet respecteren: een welbepaald doel voor ogen hebben, niet systematisch alles controleren en de werknemer informeren over mogelijke controle.
V: Wat met werkgeverscontrole op private e-mails van werknemers? A: Persoonlijke e-mails moeten, net omdat ze persoonlijk zijn, nog meer worden afgeschermd voor de werkgever. Ze mogen pas worden gecontroleerd bij een vermoeden van misbruik, en dan nog gaat het in eerste instantie enkel om een controle van metagegevens zoals frequentie en niet van inhoud.
V: Is toestemming van de werknemer nodig voor e-controle? A: Neen, aangezien er een arbeidsrelatie bestaat tussen werkgever en werkne-
mer, en die laatste dus onmogelijk een vrije toestemming kan geven voor de verwerking van zijn gegevens. De verwerking is het noodzakelijke en onvermijdbare gevolg van de arbeidsverhouding. Het is in dat geval zelfs misleidend de controle te wettigen via de toestemming van de werknemer. Zijn privacy kan beter beschermd worden door:
— gebruik te maken van de in het sociaal recht uitgewerkte onderhandelings- en overleginstrumenten tussen werkgevers en werknemers die erop gericht zijn deze ongelijke relatie in evenwicht te brengen; — het controlebeleid “voorzienbaar” te maken voor de personeelsleden in een geschreven, door alle werknemers makkelijk raadpleegbaar document.
V: Als
de arbeidsovereenkomstenwet de wettelijke grondslag is voor e-controle, wat dan met werknemers die geen arbeidsovereenkomst hebben, maar een statuut, zoals een ambtenaar?
A: In het geval van een ambtenaar, die onderworpen is aan een statuut, zijn er
gelijkaardige wettelijke bepalingen die het gezag verwoorden van werkgevers uit de openbare sector, zoals art. 7 § 1 van het Koninklijk besluit van 2 oktober 1937 houdende het statuut van het rijkspersoneel.
V: Gezag is volgens de aanbeveling de basis voor kennisname en ver-
werking van elektronische communicatiegegevens van werknemers in het kader van de dienstbetrekking. Wat dan met de controlemogelijkheden van werkgevers t.a.v. medewerkers met wie zij geen gezagsverhouding hebben?
A: In dit geval kan de grondslag gevonden worden in andere wettelijke bepalingen zoals eigendomsrecht, contractrecht, aansprakelijkheidsrecht,.... Een aantal medewerkers, zoals bv. consultants, bevinden zich overigens in een minder zwakke juridische uitgangspositie dan “loutere” werknemers: omdat zij niet onder het rechtstreekse gezag staan van de organisatie waarvoor zij een consultancyopdracht uitvoeren, kunnen zij in principe wel geldig instemmen met de kennisname en verwerking van hun elektronische
communicatiegegevens door deze organisatie. Dit moet dan wel in het samenwerkingscontract tussen de organisatie en de consultant zijn opgenomen.
V: Wat als het e-mailsysteem van de werkgever enkel mag worden ge-
bruikt voor professionele doeleinden en het tegelijk ook verboden is gebruik te maken van privémailaccounts om privémail te versturen tijdens de werkuren?
A: Volgens de Niemitz-rechtspraak van het Europees Hof voor de Rechten van
de Mens is de werkvloer de uitgelezen plaats voor het aangaan van privérelaties, privécommunicatie en privécorrespondentie, omdat werknemers op die plek eigenlijk de meeste uren van hun leven doorbrengen. Die persoonlijke ruimte is dus ook op de werkplek een fundamenteel mensenrecht. Werkgevers moeten daarom een zekere privécommunicatie door hun personeelsleden op de werkvloer tolereren. Als zij geen enkele mogelijkheid zouden laten om met de buitenwereld te communiceren, gaan zij in tegen de rechtspraak van het Europees Hof. Ook de Groep 29, de overkoepelende organisatie van Europese privacycommissies, stelt dat een algemeen verbod op persoonlijk gebruik van internet door werknemers op de werkvloer niet redelijk is en niet in verhouding staat tot het nut van het internet voor werknemers in hun dagelijkse leven.
V: Kan een vage wettelijke bepaling die het algemeen gezagsrecht van
een werkgever verwoordt wel volstaan om binnen te dringen in de persoonlijke levenssfeer van het personeel? Moet die wettelijke bepaling niet duidelijker/gedetailleerder zijn?
A: Elke werkgever heeft een algemene wettelijke opdracht tot toezicht en controle op zijn personeelsleden, en dus ook op het gebruik dat werknemers maken van de hun ter beschikking gestelde (online) communicatiemiddelen. Deze wettelijke opdracht volstaat als rechtsbasis voor het controlebeleid, maar controles moeten uiteraard “voorzienbaar” worden gemaakt voor de personeelsleden, in een schriftelijk en makkelijk raadpleegbaar document. Verder moet de werkgever altijd de uitzonderingen en de waarborgen van o.a. de Privacywet respecteren.
V: Moet in de bepaling van artikel 125, § 1, 1° van de wet betreffende
de elektronische communicatie, de term “wet” beschouwd worden in materiële zin of in formele zin? En wat dan met cao nr. 81, die duidelijk geen wet is in de formele zin van het woord?
A: In de openbare sector bepalen weliswaar vaak besluiten de bevoegdheden
van de werkgever en het statuut van de werknemer omdat dit toekomt aan de uitvoerende macht. Dit is echter het gevolg van wetten in de formele zin van het woord, zoals de Grondwet, en vormt dus geen probleem.
Cao nr. 81, die uiteraard geen wet is in de formele zin van het woord, kadert dan weer in het wettelijke en regelgevende geheel van het arbeidsrecht. Bovendien is cao 81 de concrete uitwerking van de wettelijke bepalingen die het gezag verwoorden van een werkgever, zoals de arbeidsovereenkomstenwet of gelijkaardige wettelijke bepalingen die betrekking hebben op het openbaar ambt. Deze wettelijke bepalingen vallen onder de wettelijke uitzondering omschreven in artikel 125 van de wet betreffende de elektronische communicatie, waardoor het principiële verbod om kennis te nemen van e-mail voor de werkgever niet geldt.
V: Cao nr. 81 geldt niet voor het openbaar ambt. Betekent dit dat werkgevers uit die sector de bepalingen van deze cao zomaar naast zich neer kunnen leggen bij e-controle?
A: Werkgeverscontrole op persoonsgegevens op de werkplek moet volgens de
privacywet passend en noodzakelijk zijn, voor legitieme doeleinden gebeuren en transparant zijn. Deze basisverplichtingen worden voor controle op onlinecommunicatiegegevens gespecificeerd door cao 81. Hoewel een cao inderdaad niet van toepassing is op de publieke sector, kunnen werkgevers uit die sector cao 81 dus niet naast zich neerleggen omdat die ze een verbijzondering is van de Privacywet die wel op hen van toepassing is.
V: Moet de basisaanbeveling inzake het gebruik van dubbele mailboxen
(die van de werkgever voor het werk en een privéaccount voor persoonlijke berichten) worden nageleefd?
A: Deze aanbeveling heeft geen enkel dwingend of verplichtend karakter. De
Privacycommissie heeft hiermee enkel willen aangeven dat het verstandig is zakelijke mail van privémail te scheiden om de privacy van werknemers te waarborgen. Eén manier om dat te doen is de werknemer twee verschillende
e-mailadressen laten gebruiken, zodat alle communicatie via het e-mailsysteem van de werkgever als professioneel beschouwd wordt, en de werkgever dus gerechtigd is om die te controleren zonder specifieke maatregelen te nemen om privé-informatie (die er immers in principe niet zal zijn) te beschermen.
Voor sommige organisaties is deze oplossing misschien niet wenselijk of sluitend (bv. voor binnenkomende persoonlijke e-mail op de professionele account waarop de werknemer geen vat heeft), en dan hebben werknemers onvermijdelijk een gemengde elektronische mailbox. In dat geval moet de werkgever wel specifieke maatregelen nemen om bij een zoektocht naar professionele berichten (waarop de werkgever evident recht heeft), persoonlijke berichten zoveel mogelijk te beschermen (bv. door toegang te laten verlopen via een intermediaire vertrouwenspersoon).
V: Dringt een nieuwe wettelijke regeling voor elektronisch toezicht op de werkvloer zich niet op?
A: Ondanks het gebrek aan een specifieke wet in deze context, volstaat het
huidige wettelijke arsenaal om als werkgever controle uit te oefenen op werkinstrumenten en op het gebruik dat de werknemer ervan maakt voor zijn taken, ook wanneer dit gebruik persoonlijke elektronische online communicatie inhoudt. Een controlebeleid is privacyvriendelijk wanneer het voldoet aan de algemene principes van de Privacywet (een welbepaald doel voor ogen hebben, niet systematisch alles controleren en de werknemer informeren over mogelijke controle). Tegelijk is er op deze manier ook nog voldoende ruimte om in te spelen op de specifieke situatie van elke organisatie.