“ONLINE” GOKKEN IN BELGIË: EEN STAND VAN ZAKEN Christoph De Preter DE GEMEENTE LOGT IN. Jos Dumortier
Over de controle op telefoon-, Internet- en e- mailgebruik en de aansprakelijkheid van de INHOUDSTAFEL gemeentelijke overheid terzake.
Christoph De Preter ICRI – K.U. Leuven
CHRISTOPH DE PRETER DE GEMEENTE LOGT IN
De veralgemeende inzet van moderne communicatiemiddelen zoals e-mail en Internet heeft de werking van vele gemeentelijke overheden aanzienlijk gewijzigd en geoptimaliseerd. Tegelijkertijd stelt de versterkte aanwezigheid van de informatiemaatschappij echter ook een aantal belangrijke uitdagingen. Eén ervan is de tegenstelling tussen enerzijds het recht op privacy van het gemeentepersoneel bij het gebruik van de gemeentelijke telecom-infrastructuur, en anderzijds het recht van de gemeentelijke overheid om controle uit te oefenen op haar personeel.
1. Algemeen: het recht op privacy vs. de gezagsuitoefening van de gemeente Het grondrecht op privacy - Het recht op privacy wordt op internationaal niveau erkend door artikel 8 van het Europees Verdrag van de rechten van de mens (E.V.R.M.) en artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (I.V.B.P.R.). In België is het recht op privacy ook opgenomen in artikel 22 van de Grondwet. Deze verschillende bepalingen vereisen in essentie dat eenieder recht heeft op eerbiediging van zijn privé-leven, en dat een inmenging van overheidswege of van andere particulieren slechts bij wet kan worden toegestaan, slechts voor welbepaalde doelstellingen mag plaatsvinden, en slechts zover mag gaan als nodig is om die doelstelling te bereiken. Juridische basis voor een controle door de gemeentelijke overheid van telefoon-, e-mail- en Internetgebruik - Op grond van haar eigendomsrecht op bv. de telefoon, de computer of het faxtoestel kan de gemeente verbieden dat het personeel van deze communicatiemiddelen gebruik maakt. Zij kan er uiteraard ook voor kiezen deze ter beschikking te stellen voor zover er een doelgebonden gebruik plaatsvindt. In het kader van haar gezagsuitoefening over haar ambtenaren kan de gemeente immers bepalen hoe de werktijd van het personeel wordt ingericht, en dus ook in welke mate communicatiemiddelen mogen worden gebruikt1. Twee basisbegrippen: verwerking en controle - De gemeente kan dus bepaalde regels stellen m.b.t. het communicatieverkeer. Hoe kan zij nu de naleving van deze regels verzekeren? Men moet dienaangaande een onderscheid maken tussen de vraag op welke wijze welke gegevens worden vergaard (hoever kan de controle door de gemeente reiken?) en de vraag wat daarna met deze gegevens gebeurt (vindt er al dan niet een verwerking plaats van de door de gemeente verkregen gegevens?).
2. Verwerking van informatie Kan de gemeentelijke overheid bestanden bijhouden met een systematische beschrijving van het telefoon-, e-mail of surfgedrag van één of meerdere
1
In dezelfde zin m.b.t. de arbeidsrechtelijke positie van de werkgever, zie TH. CLAEYS en D. DEJONGHE, “Gebruik van e-mail en Internet op de werkplaats en controle door de werkgever”, J.T.T. 2001, 122.
1
CHRISTOPH DE PRETER DE GEMEENTE LOGT IN
personeelsleden? - De privacywet2 heeft betrekking op de verwerking van persoonsgegevens. Onder “persoonsgegevens” worden alle gegevens verstaan waardoor een natuurlijke persoon geïdentificeerd wordt of identificeerbaar is. De term “verwerking” omvat élke bewerking of geheel van bewerkingen; zelfs een eenvoudige raadpleging kan als “verwerking” aanzien worden. Ook wie via een beeldscherm online en in real time niets méér doet dan louter het Internetgebruik van personeelsleden in de gaten te houden, zonder die gegevens te bewaren, valt dus onder de toepassing van de privacywet3. Wat zijn nu de gevolgen van de toepasselijkheid van de privacywet? Ten eerste mogen persoonsgegevens slechts worden verwerkt in bepaalde gevallen, bv. wanneer het betrokken individu hiertoe zijn toestemming heeft gegeven, of, voorzover de werking daarvoor noodzakelijk is, voor de uitvoering van een (arbeids)overeenkomst. Wat dit laatste betreft moet de privacywet o.i. ruim genoeg worden geïnterpreteerd om niet alleen in het kader van de uitvoering van een arbeidsovereenkomst een controle toe te laten, maar ook in het kader van een statutaire verhouding met de gemeentelijke ambtenaar. Men kan dus concluderen dat men (i) ofwel toestemming van het gemeentepersoneel zal moeten krijgen om over te gaan tot de verwerking van persoonsgegevens, (ii) ofwel zal moeten aantonen dat de controle noodzakelijk is voor de goede werking van de administratie en in verhouding staat tot het beoogde doel4. Daarnaast zal de Commissie voor de bescherming van de persoonlijke levenssfeer voorafgaandelijk moeten worden ingelicht over elke geheel of gedeeltelijk geautomatiseerde verwerking5. Kan de gemeentelijke overheid bestanden bijhouden met algemene informatie over het telecommunicatieverkeer die geen betrekking heeft op de afzonderlijke personeelsleden? - Bij de systematische observatie van verkeersgegevens (bv. statistische gegevens m.b.t. het totale telefoon- of Internetverkeer binnen de gemeentelijke administratie) worden geen gegevens m.b.t. individueel indentificeerbare personen verwerkt, en is de privacywet bijgevolg niet van toepassing. Een dergelijke informatieverwerking is dus vrij toegelaten, binnen de hierna uiteengezette grenzen wat de wijze van informatievergaring betreft.
3. De “klassieke” communicatiemiddelen: controle van het telefoonverkeer De controle op het telefoongebruik van gemeentepersoneel kan verschillende vormen aannemen. Naast de eenvoudige evaluatie van de gemaakte telefoonkosten of de inventarisering van de opgebelde telefoonnummers (om bv. na te gaan of het 2
Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, B.S. 18 maart 1993. 3 J. DUMORTIER, “Little Brother is watching you: mag de werkgever het Internetgebruik van zijn werknemers controleren?” in Liber Amicorum Prof. Dr. Roger Blanpain, Brugge, Die Keure, 1998, 250. 4 Over wat noodzakelijk en proportioneel is kan natuurlijk discussie bestaan. Zo is de Privacycommissie van oordeel dat een algemene, pro-actieve verwerking van alle telecommunicatiegegevens niet aan deze vereisten beantwoordt. In de rechtsleer bestaan hier echter andere meningen over (zie TH. CLAEYS en D. DEJONGHE, “Gebruik van e-mail en Internet op de werkplaats en controle door de werkgever”, J.T.T. 2001, 123. 5 Artikel 17 Privacywet.
2
CHRISTOPH DE PRETER DE GEMEENTE LOGT IN
telefoongebruik overwegend een privaat of beroepskarakter vertoont), waarbij men kennis neemt van bepaalde gegevens inzake de telecommunicatie, kan men ook overgaan tot de kennisname van de inhoud van het gesprek zelf (om bv. de goede service van een ombudsdienst na te gaan). Die twee varianten worden hierna besproken. Evaluatie van telefoonkosten en inventarisering van telefoonnummers - Artikel 109ter D, 3° van de Wet van 21 maart 1991 verbiedt om met opzet kennis te nemen van “gegevens inzake telecommunicatie die betrekking hebben op een ander persoon, behoudens toestemming van alle andere personen die rechtstreeks of onrechtstreeks betrokken zijn bij deze gegevens”6. Daarnaast verbiedt de wet ook om gegevens, of ze nu met of zonder opzet werden bekomen, kenbaar te maken, er enig gebruik van te maken, te wijzigen of te vernietigen zonder het akkoord van de betrokkenen7. Overtreding wordt bestraft met een geldboete van 250 tot 250.000 euro. Deze regel is echter niet van toepassing wanneer de wetgever de kennisname van deze gegevens bij wet toelaat of verplicht8. Welnu, de evaluatie van gemaakte telefoonkosten en de inventarisering van opgebelde telefoonnummers lijkt onderworpen te zijn aan een dergelijke bijzondere wettelijke regeling. De telecomoperatoren kunnen namelijk, met het doel facturen van abonnees op te stellen, de opgeroepen abonneenummers alsook het type, het tijdstip van aanvang en de duur van de oproepen, de datum van de oproep en/of de verzonden hoeveelheid gegevens verwerken. De verwerking mag slechts gebeuren na de uitdrukkelijke toestemming van de abonnee9. Mag de gemeentelijke overheid op basis van deze wettelijk verkregen gegevens, en zelfs zonder akkoord van de betrokken personen, controle uitoefenen op het telefoonverkeer? Dit lijkt ons inderdaad het geval te zijn. Trouwens, hoe anders zou de gemeente telefoonkosten kunnen doorrekenen naar haar verschillende administratieve eenheden, of de factuur van de telefoonmaatschappij op haar getrouwheid kunnen controleren? Vanuit het oogpunt van de rechtszekerheid lijkt het desalniettemin aangewezen om een wettelijke uitzondering te creëren op artikel 109ter D, 3°, op basis waarvan werkgever en overheid uit hoofde van hun gezagsrecht bepaalde controledaden zouden kunnen stellen10. Een loutere verwijzing naar het gezagsrecht van de werkgever (bv. art. 17, 2° Arbeidsovereenkomstenwet) of van de overheid is momenteel immers te vaag en is onvoldoende om van een wettelijke uitzondering te kunnen spreken. Kennisname van de inhoud van telefoongesprekken11 - Hij die “opzettelijk, met behulp van enig toestel privé-communicatie of –telecommunicatie, waaraan hij niet deelneemt, tijdens de overbrenging ervan, afluistert of doet afluisteren, er kennis van neemt of doet van nemen, opneemt of doet opnemen, zonder de toestemming van alle deelnemers aan die communicatie of telecommunicatie” wordt gestraft met een
6
Art. 109ter D, 3°, Wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven, B.S. 27 maart 1991. 7 Art. 109ter D, 4°. 8 Artikel 109ter E, §1. 9 Art. 105nonies §2. 10 J. DUMORTIER, “Little Brother is watching you: mag de werkgever het Internetgebruik van zijn werknemers controleren?” in Liber Amicorum Prof. Dr. Roger Blanpain, Brugge, Die Keure, 1998, 255. 11 Zie voor een specifieke toepassing m.b.t. call centers: P. VAN EECKE, “Call centers en de Belgische afluisterwet: een pijnlijke confrontatie”, Computerrecht 1997, 6.
3
CHRISTOPH DE PRETER DE GEMEENTE LOGT IN
gevangenisstraf van zes maanden tot één jaar en met een geldboete van duizend tot vijftigduizend euro of met één van die straffen alleen (artikel 314bis Strafwetboek). Bij deze strafbepaling moeten enkele verduidelijkingen worden gemaakt. Diegene die de opdracht geeft tot de kennisname van het bewuste gesprek telefoongesprek is eveneens strafbaar (“doet afluisteren”). Daarnaast is het uiteraard belangrijk te weten wat de wetgever precies bedoelt met “privé-communicatie of -telecommunicatie”. Mag men dan wél telefoongesprekken controleren die beroepshalve gevoerd worden? Uit de parlementaire voorbereiding blijkt dat de wet geen onderscheid maakt tussen professionele en niet-professionele communicatie12: enkel en alleen de gesprekspartners zelf – het gemeentelijk personeelslid en bv. een particulier die telefonisch om bepaalde inlichtingen verzoekt - bepalen of hun gesprek privaat of publiek is13. Het moge duidelijk zijn dat dit laatste slechts zelden het geval zal zijn. Ook gesprekken tussen verschillende gemeentelijke personeelsleden die bv. via een binnenlijn worden gevoerd, zijn in de regel als privaat te beschouwen14.
4. “E-surveillance”: Internetgebruik
controle
van
het
e-mail
en
Waaruit kan e-surveillance bestaan? - Aan de hand van zgn. “log files” die binnen het computernetwerk worden bijgehouden, is het voor de netwerkbeheerder relatief eenvoudig om na te gaan op welke tijdstippen vanaf welke computer of door welke gebruiker ingelogd werd op het Internet. Met gemakkelijk te verkrijgen software kan men eveneens nagaan welke Internetsites werden geraadpleegd, of via welk kanaal bepaalde schadelijke (bv. virussen) of illegale (bv. grafische bestanden met kinderpornografie) informatie het gemeentelijk informaticasysteem werd binnengeleid. Wat het e-mail gebruik betreft, kan de controle zowel bestaan uit het “onderscheppen” van e-mail tijdens de verzending, als het doornemen van e-mail die is opgenomen in de elektronische brievenbus van een gebruiker of in een bestand. Wettelijke principes inzake e-mail controle - Wat e-mail controle betreft kan grotendeels verwezen worden naar wat hiervoor reeds gezegd over de controle van het telefoonverkeer. Inzage in de e-mail zelf is verboden krachtens artikel 314bis Sw. Hoewel die laatste bepaling alleen de kennisname van privé-telecommunicatie verbiedt tijdens de overbrenging ervan, gaan stemmen in de rechtsleer op om hieronder ook de kennisname te begrijpen van e-mails die reeds zijn opgeslagen in een mailbox15. Inzage in gegevens betreffende het e-mail verkeer van een personeelslid zal zowel de toestemming van die laatste vereisen, alsook van de persoon aan wie de bewuste e-mail gericht werd of die de e-mail verstuurde (artikel 109ter D, 3° van de Wet van 21 maart 1991). Wettelijke principes inzake controle van het Internetgebruik - Telecommunicatie is “elke overbrenging, uitzending of ontvangst van tekens, seinen, geschriften, beelden, klanken of gegevens van alle aard, per draad, radio-elektriciteit, optische 12
Gedr. St. Senaat, 1992-93, nr. 843/2, 35-36. J. DUMORTIER, “Internet op het werk: controlerechten van de werkgever”, Oriëntatie 2000, 39. 14 In dezelfde zin, zie P. VAN EECKE, o.c., 8. 15 Zie A. RÉVEILLON, “La e-surveillance des employés. Le contrôle des e-mails et des sites visités”, Revue Ubiquité 2002, 37.
13
4
CHRISTOPH DE PRETER DE GEMEENTE LOGT IN
seingeving of een ander elektromagnetisch systeem” (artikel 68, 4° van de Wet van 21 maart 1991). Hoewel er geen communicatie’partner’ als dusdanig is, is ook surfen op het Internet een vorm van telecommunicatie, en als zodanig onderworpen aan artikel 109ter D, 3°. Aangezien bij Internetgebruik geen communicatie plaatsvind met een andere persoon, zal de enkele toestemming van het gemeentelijk personeelslid voldoende zijn om het Internetgebruik te registreren. C.A.O. nr. 81 inzake e-surveillance - De C.A.O. nr. 81 inzake e-surveillance16 beoogt de privacy van de werknemer én het recht van de werkgever om controle uit te oefenen op de werkzaamheden van het personeel, te verzoenen en te waarborgen. De C.A.O. heeft betrekking op de controle en individuele verwerking van “elektronische on-linecommunicatiegegevens”. Hoewel deze term niet wettelijk gedefinieerd is, is het duidelijk dat hieronder ook gegevens inzake e-mail- en Internetgebruik vallen. De C.A.O. laat een controle slechts toe voorzover voldaan wordt aan een drietal principes: het finaliteits-, proportionaliteits- en transparantieprincipe. Ze is slechts toegestaan voor zover zij één van de volgende doeleinden betreft: (i) voorkoming van “ongeoorloofde of lasterlijke feiten” en “feiten die strijdig zijn met de goede zeden of de waardigheid van een ander persoon kunnen schenden17”; (ii) bescherming van de economische, handels- en financiële belangen van de onderneming18; (iii) waarborging van de veiligheid en/of de goede technische werking van het netwerk; (iv) de naleving van de in een onderneming geldende regels m.b.t. het gebruik van onlinetechnologieën. Verder moet de controle een zo klein mogelijke inmenging tot gevolg hebben in de persoonlijke levenssfeer van de werknemer19. Tenslotte voorziet de C.A.O. in een informatiesysteem waarbij zowel de ondernemingsraad als de individuele werknemers moeten worden ingelicht over bepaalde aspecten20 van een door de werkgever voorgenomen controle. De individuele verwerking van gegevens (waarbij de betrokkene geïndividualiseerd of individualiseerbaar is, en de privacywet dus van toepassing is) moet eveneens beantwoorden aan het finaliteits-, proportionaliteits- en transparantieprincipe. Binnen het kader van de hierboven opgesomde feiten kan de individualisering zondermeer plaatsvinden, behalve voor wat betreft de controle op de naleving van de geldende regels m.b.t. het gebruik van on-line technologieën. In dat laatste geval moet een voorlichtingsprocedure gevolgd worden, waarbij de individuele 16
C.A.O. nr. 81 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische on-line communicatiegegevens, algemeen bindend verklaard bij K.B. van 12 juni 2002, B.S. 29 juni 2002. 17 Bv. het bezoeken van pornografische of revisionistische sites of de inbraak in computers. 18 Bv. schendingen van bedrijfsgeheimen en ongeoorloofde doorgave van andere vertrouwelijke informatie. 19 Bv. de (niet-geïndividualiseerde) verzameling van gegevens over de duur van de aansluiting per werkpost op het Internet, of de verzameling van (niet-geïndividualiseerde) gegevens m.b.t. het volume van uitgaande e-mails. Een controle van het zou er bv. op kunnen wijzen dat e-mails met grote (grafische) bestanden worden verzonden. 20 De informatie slaat op de volgende aspecten van de controle: - het controlebeleid en de prerogatieven van de werkgever en het toezichthoudend personeel; - de nagestreefde doelstellingen; - inlichtingen over de plaats en duur van de eventuele bewaring van persoonsgegevens; - het al dan niet permanente karakter van de controle. Daarenboven moet de werkgever bijkomend individueel ingelicht worden over de controleinstrumenten die zullen gebruikt worden, alsook over de rechten, plichten en eventuele verboden inzake het gebruik van elektronische on-line communicatiemiddelen, en over de in het arbeidsreglement opgenomen straffen die staan op de niet-naleving van de regels.
5
CHRISTOPH DE PRETER DE GEMEENTE LOGT IN
werknemer bij de werkgever uitgenodigd wordt voor een gesprek voorafgaand aan elke mogelijke evaluatie, sanctie of beslissing. Toepassing van de C.A.O. op gemeentelijk niveau? - De C.A.O. is in beginsel niet van toepassing op het gemeentelijk personeel, ongeacht of men in statuair of contractueel dienstverband werkzaam is. Het K.B. tot algemeenbindendverklaring voorziet niet in een uitbreiding van de werkingssfeer van de C.A.O. tot het contractuele gemeentepersoneel21, en is bijgevolg beperkt tot de werknemers in de privé-sector. Wél zou de C.A.O. eventueel als bron van inspiratie kunnen dienen voor de regeling van de verhouding tussen gemeentelijke overheid en personeel.
5. Besluit De gebruikelijke gegevens inzake het gemeentelijke telefoonverkeer die bv. op de factuur van de telecomoperator vermeld zijn, kan men o.i. verzamelen en gebruiken. Het Internet(surf)gedrag van het gemeentepersoneel zal slechts kunnen gecontroleerd worden wanneer het personeel daartoe haar toestemming heeft gegeven, bv. door de ondertekening van een gemeentelijke beleidsverklaring of via sectorale onderhandelingen over de statutaire positie van het personeel (eventueel geïnspireerd op bovenvermelde C.A.O.). Voor e-mail geldt hetzelfde principe, met die bijzonderheid dat ook de e-mail correspondent zijn toestemming moet geven vooraleer de e-mail kan gecontroleerd worden. Die problematiek kan enigszins getemperd worden door het gemeentepersoneel te verplichten voor private e-mail een andere account te gebruiken (bv. een hotmail-adres) en in de e-mails die verstuurd worden via de gemeentelijke account een vermelding of disclaimer op te nemen waarin duidelijk staat dat dat kanaal niet voor privé-berichten mag worden gebruikt en dat de inhoud van de e-mail kan worden gecontroleerd. Bij dat alles mag men echter niet vergeten dat elke verwerking van gegevens nog altijd moet beantwoorden aan de vereisten van de privacywet: controle mag slechts voorzover men daarmee een bepaald (legitiem) doel beoogt en de gebruikte middelen daarmee in verhouding staan. Christoph De Preter Wetenschappelijk Medewerker ICRI (Interdisciplinair Centrum voor Recht en Informatica)- KU Leuven
21
Artikel 2 §3, 1° C.A.O.-wet bepaalt immers dat zij niet van toepassing is op “diegenen die in dienst zijn van de Staat, de provincies, de gemeenten, de daaronder ressorterende openbare instellingen en de instellingen van openbaar nut (...). De Koning kan evenwel, bij gemotiveerd en in Ministerraad overlegd besluit, de toepassing van deze wet geheel of gedeeltelijk uitbreiden tot die personen of bepaalde categorieën ervan”. Een dergelijke uitbreiding van de werking van C.A.O. nr. 81 is niet voorzien.
6
