Op 22 augustus 2012 heeft de privacycommissie een dossier cybersurveillance op haar website gepubliceerd met daarin enkele aanbevelingen ingeval van toegang van de werkgever tot of controle door de werkgever op de elektronische communicaties verricht door zijn personeel.
De privacycommissie is in dit dossier nog steeds, in navolging van haar aanbevelingen anno 2000, van oordeel dat de werkgever zijn informatica-infrastructuur niet zonder meer mag gebruiken als elektronisch controlemiddel op de elektronische communicaties van zijn werknemers. Daarentegen is zij nu wel uitdrukkelijker van oordeel dat het loutere gebruik door werknemers van diezelfde informatica-infrastructuur, de werkgever niet zonder meer mag verhinderen om de elektronische communicaties verricht door zijn personeel te controleren of er toegang tot te hebben.
Hierna doe wij een poging om de grote lijnen van deze nieuwe aanbeveling te schetsen. We merken nog op dat het enkel aanbevelingen betreft, deze zijn niet juridisch afdwingbaar:
1. Basisaanbevelingen
- De privacycommissie raadt de werkgevers aan om zoveel mogelijk afspraken (juridische, technische en organisatorische regels, bv. geen privé-mails versturen) en procedures (bv. klassement van e-mail, bewaren van bestanden) uit te werken, die ertoe moeten leiden dat er geen nood is aan toegang van de werkgever tot, of controle van hem op persoonlijke informatie van de werknemers;
- Dergelijke zorgvuldigheidsplicht geldt niet alleen voor de werkgever, maar ook voor de werknemers zelf; (bv. persoonlijke gegevens zoveel mogelijk afschermen voor derden)
2. Aanbevelingen ingeval van controle op het gebruik van het emailsysteem en cameratoezicht
- De privacycommissie raadt de werkgever aan om zich te verzekeren van de naleving van het wettigheidsbeginsel; (bv. enkel persoonsgegevens in de door de Privacywet toegelaten gevallen mogen verwerkt worden)
- Zij raadt ook aan om de mogelijke inmenging in de privacy van werknemers te bespreken (bv. iedere toegang tot persoonsgegevens moet gemotiveerd worden) en het toezicht –en controleverrichtingen worden best omkaderd; (bv. speciale regels opmaken inzake toegang en gebruik voor de systeembeheerder)
- De privacycommissie raadt ook aan om de naleving van de wettelijke regels te waarborgen en de veiligheid van het toezicht door controle te versterken (bv. het beheer en onderhoud van de instrumenten en netwerken laten verzekeren door een externe dienstverlener)
3. Aanbevelingen wat betreft de opmaak van praktische gedragsregels om rekening te houden met de Privacywetgeving
De privacycommissie stelt volgende gedragsregels voor :
- Hou professionele en privéinformatie zo veel mogelijk gescheiden; (bv. door te vermelden welke informatie louter privé is in een ICT-policy)
- Sluit bepaalde risicovolle handelingen uit; (bv. door de toegang te blokkeren tot bepaalde websites)
- Toegang tot persoonlijke communicatie vereist een specifieke omkadering; (bv. gebruik specifieke mappen en indien er berichten moeten worden geselecteerd, zal men een neutrale vertrouwenspersoon aanduiden die gehouden is tot vertrouwelijkheid en gemachtigd is om de hoedanigheid van die berichten te beoordelen.)
- Beperk het toezicht tot noodzakelijke gegevens en hergebruik in geen geval de ingezamelde gegevens; (bv. logs, journalen en sporen eerst globaal bekijken en pas nadien individualiseren)
- Onverenigbaarheden invoeren in de toegangsrechten voor eenzelfde persoon. Een gebruiker zou niet mogen in staat zijn om onrechtmatige handelingen te verdoezelen, bijvoorbeeld door sporen die gegenereerd worden door zijn handelingen te wijzigen.
- Beheer van de sporen; (bv. mogelijkheid om de dagelijkse en praktische naleving van de goede uitvoering van de procedures na te zien)
- Functioneringsregels bepalen; (bv. het opstellen van te volgen regels voor "Out of Office" berichten)
Uit wat voorafgaat kan besloten worden dat de toegang tot elektronische communicatie of internetgegevens niet enkel een kwestie van toezicht is maar eveneens een beheer en de organisatie van de activiteiten van de werkgever betreft.
Hoewel de werkgever rechtmatig belang heeft toegang te hebben tot deze informatie, zal steeds rekening moeten gehouden worden met de bescherming van de persoonlijke levenssfeer van de werknemer, ook op de werkvloer. Dit is te wijten aan de verschillende wettelijke bepalingen die moeten nageleefd worden door de werkgever indien hij kennis wil nemen van elektronische communicaties en communicatiegegevens waarvan het gebruik door de werknemers meer en meer wordt veralgemeend.
Dit kan vermeden worden door aan de werknemers te vragen om private mail via een persoonlijk emailadres te laten verlopen en niet via het emailadres dat aan de werknemer werd ter beschikking gesteld om professionele activiteiten te kunnen uitvoeren. Indien de werkgever in de ICT-policy heeft opgelegd dat het dubbel gebruik van het emailsysteem (professioneel en privaat) verboden is, dan mag de werkgever er in principe van uit gaan dat alle e-mails een beroepsmatig karakter hebben, zeker ten aanzien van de verzonden berichten. Bij binnenkomende mails zal de werkgever voorzichtiger moeten optreden dan ten aanzien van uitgaande mails, vermits de werknemer er de auteur niet van is en allicht bepaalde mails zelfs niet verwachtte. Wanneer de werkgever bij een dergelijke rechtstreekse toegang niettemin een private e-mail aantreft, krijgt hij daar dus op rechtmatige wijze kennis van. Dit betekent nog niet dat een privémail die aldus ter kennis komt van de werkgever nadien voor eender welk doel (bv. een gebruik met bedrieglijk opzet of met het oogmerk de betrokken werknemer of derde te schaden) zou mogen worden gebruikt. Een verder gebruik zal moeten beantwoorden aan de vereisten van de Privacywet .
Werkgevers die dit niet kunnen of willen zullen onvermijdelijk moeten aanvaarden dat een personeelslid een hogere privacy-verwachting kan laten gelden over zijn elektronische postbus. Een absoluut verbod om het emailsysteem van de werkgever beperkt te gebruiken voor privédoeleinden is immers moeilijk verdedigbaar.
Meer informatie kan u vinden op http://www.privacycommission.be onder de rubriek “privacythema’s”