10.2 Privacy van werknemers
monitoren
WBP
Sommige organisaties monitoren het liefst het gedrag van iedereen die het pand betreedt, of dat nu klanten, werknemers of bezoekers zijn. Het internetverkeer is tenslotte eenvoudig te monitoren, e-mail kan worden gescand en websitebezoeken kunnen worden geanalyseerd. Maar dat de mogelijkheid bestaat, wil niet zeggen dat u zomaar mág monitoren. U moet rekening houden met het recht op privacy. Uw organisatie mag niet zomaar bijhouden wat werknemers, bezoekers of klanten doen, ook niet bij webwinkelen, privégebruik van internet, e-mail of telefoon. Dat valt namelijk onder de Wet bescherming persoonsgegevens (WBP). Uw organisatie stelt bedrijfsmiddelen zoals internettoegang beschikbaar omdat werknemers deze nodig hebben om hun werk te doen. Deze middelen zijn eigendom van uw werkgever. Hij mag dus regels stellen voor het gebruik van die middelen en in principe nagaan of mensen zich aan die regels houden. Aan de andere kant hebben u en uw collega’s recht op privacy, óók bij privégebruik van computer of internet.
De ondernemingsraad als privacywaakhond
instemming
Iedere organisatie met meer dan vijftig werknemers is wettelijk verplicht een ondernemingsraad (OR) in het leven te roepen. Tot het takenpakket van de OR hoort het toezien op de privacy van werknemers. Zo is instemming van de OR bijvoorbeeld verplicht bij het invoeren van een internetprotocol. Daarnaast moet het protocol natuurlijk altijd aan alle werknemers beschikbaar worden gesteld.
privacy
Dat betekent niet dat u zomaar alles mag doen. Regels en beperkingen zijn prima zolang ze niet neerkomen op een totaalverbod van privégebruik of op persoonsgericht monitoren. Aangezien de grenzen tussen privé en zakelijk sterk zijn vervaagd, moeten werkgevers accepteren dat werknemers onder werktijd privézaken regelen en hun persoonlijke netwerk onderhouden. Aan de andere kant moeten werknemers tot op bepaalde hoogte accepteren dat het werk niet altijd om vijf uur klaar is en dat ze ook buiten kantoortijden benaderd kunnen worden voor hun werk. Uit de rechtspraak blijkt dat werknemers een ‘redelijk niveau’ van privacy mogen verwachten. Onder normale omstandigheden gaat privacy boven het bedrijfsbelang. Dat betekent overigens niet dat alles zomaar geoorloofd is. Een werkgever mag wel activiteiten verbieden die veel dataverkeer vragen of schade aan de bedrijfsvoering toebrengen.
Als een werkgever van plan is om werknemers te monitoren, moet de organisatie vooraf aankondigen hoe en wanneer dit gaat gebeuren.
legitiem doel
Bijhouden wat een werknemer doet op zijn computer is een verwerking van persoonsgegevens en mag dus alleen als er een legitiem doel is.
illegale software
phishing
arbeidsconflict
Geaccepteerde legitieme doelen zijn:
- Kosten: films downloaden is niet alleen vaak illegaal; het kan de werkgever ook nog eens een lieve duit kosten als hij geen abonnement met onbeperkt dataverkeer heeft. Ook kost het veel bandbreedte, waardoor het netwerk traag wordt en het reguliere werk eronder lijdt. Als een werknemer bijvoorbeeld illegale software gebruikt, kan dit de werkgever niet alleen een boete opleveren, maar ook imagoschade.
- Beveiligingsrisico’s: een werknemer kan de fout ingaan door onvoorzichtig te werk te gaan. Denk aan malware binnenhalen of in een phishingmail trappen. Of wat dacht u van een map die gevoelige bedrijfsinformatie bevat per ongeluk openbaar delen bij een online opslagdienst?
- Public relations: een werknemer moet nadenken over alles wat hij onder werktijd doet of zegt. Dus ook als u tweets en e-mails onder werktijd stuurt, kunnen de ontvangers denken dat u namens de organisatie spreekt. Zeker als u bijvoorbeeld reageert op een bericht over de organisatie, of blogt over het werk. Maar ook het op die manier publiceren van discriminerende teksten heeft consequenties voor de organisatie. De werkgever mag de werknemer daarop aanspreken.
- Juridisch: een werknemer kan de wet overtreden of mensen schade berokkenen vanachter zijn bedrijfscomputer. Denk aan het illegaal verspreiden van muziek of televisieseries.
- Arbeidsconflicten: pornografie of kwetsend materiaal bekijken of rondsturen kan de sfeer op de werkvloer behoorlijk verzieken. Als iemand de hele dag alleen maar op Facebook zit in plaats van zijn werk te doen, wekt dat irritaties op bij collega’s.
gedragscode
Uw werkgever kan een gedragscode invoeren waarin staat wat wel en niet mag met de computer, bedrijfsmail, internetverbinding en (mobiele) telefoon. Zo kan een protocol verbieden om een abonnement te nemen op bepaalde sms-diensten of voorschrijven dat in het buitenland een prepaid-kaart wordt gebruikt in plaats van het zakelijke abonnement dat op de mobiel gebruikt wordt.
Een gedragscode hoeft niet altijd voor een specifieke organisatie te gelden. Zo’n document kan ook op brancheniveau worden opgesteld.
monitoren
dataverkeerrapport
Ook in een gedragscode mag de werkgever het privégebruik van bedrijfsfaciliteiten zoals privé-internetten niet volledig verbieden. Wel mag hij er grenzen aan stellen. Vaak kiest men de formulering ‘als dit niet storend is voor de dagelijkse werkzaamheden’. De situaties waarin de werkgever gericht mag kijken of deze grenzen worden overschreden, moeten expliciet worden genoemd in de gedragscode. Zo kan meelezen van e-mail gerechtvaardigd zijn als er klachten komen over beledigende mails of verzonden spam. Persoonsgericht monitoren mag alleen bij concrete aanwijzingen dat iemand iets fout doet. Fout gedrag van een werknemer staat vast als zijn gedrag ingaat tegen het IT-reglement van het bedrijf. Een werkgever kan bijvoorbeeld vastleggen dat hij persoonsgericht mag kijken wie er verantwoordelijk is als uit het maandelijks dataverkeerrapport blijkt dat er overmatig wordt gedownload. Ook mag hij de veroorzaker daarop aanspreken. Een waarschuwing vooraf aan de hele afdeling dat er te veel gedownload is en dat men vanaf de volgende werkdag persoonsgericht gaat monitoren, is dan wel zo netjes.
Snuffelen in privémail mag soms
Het Europees Hof voor de Rechten van de Mens (EHRM) gaf onlangs aan dat werkgevers mogen meelezen met privéberichten als een werknemer deze onder werktijd verstuurt. In de betreffende rechtszaak ging het om een Roemeense werknemer die in 2007 werd ontslagen nadat hij onder werktijd via een Yahoo Messengeraccount privéberichten had verstuurd. Zijn werkgever had deze berichten gelezen. De werknemer vond dat daarmee zijn privacy was geschonden en stapte naar de rechter. Het Europese Hof kwam tot een verrassende uitspraak. Weliswaar was de rechter van mening dat het recht op privacy ook op de werkplek geldt; hij kon echter ook begrip opbrengen voor de werkgever. De rechter oordeelde dat het niet onredelijk is voor een werkgever om na te gaan waar werknemers zich mee bezighouden tijdens werktijd.
Social media
gedragscode
Een gedragscode kan ook regels bevatten voor het gebruik van social media, zoals Twitter, Facebook of Instagram. Een werknemer kan namelijk per ongeluk verkeerde dingen zeggen op social media. Zo kan iemand in zijn enthousiasme een fusie bekendmaken op social media die nog niet wereldkundig gemaakt had mogen worden. Of iemand kan een conflict veroorzaken door zich negatief uit te laten over zijn leidinggevende op Twitter.
Cookies
toestemming
noodzakelijk
In de zogeheten Cookiewet is vastgelegd dat websites alleen cookies mogen plaatsen als u daar vooraf toestemming voor heeft gegeven en duidelijk geïnformeerd bent over de gegevens die worden verzameld. Als er ook persoonsgegevens worden verzameld, moet u eveneens toestemming geven voor het verwerken van uw persoonsgegevens. Er zijn wel twee uitzonderingen: als de cookies noodzakelijk zijn om de website te laten functioneren, zijn informeren en toestemming vragen niet nodig. Dat geldt ook als de cookies noodzakelijk zijn om diensten te kunnen leveren.
De browser geeft u de keuze
volg-mij-nietknop
Als u het geen prettig idee vindt dat websites allerlei gegevens over u verzamelen, kunt u bij de instellingen van uw browser aangeven dat u niet wilt dat websites uw gegevens delen met adverteerders. De browsers Internet Explorer en Firefox hebben beide een volg-mij-nietknop toegevoegd. Die vindt u in het privacygedeelte van de instellingen. Overigens geeft de knop geen 100% garantie dat uw gegevens niet gedeeld worden.
Sinds een paar jaar zijn websites die via cookies persoonsgegevens van u verzamelen verplicht dit te melden bij de Autoriteit Persoonsgegevens. Dit zijn cookies die bijhouden welke sites u bezoekt en wat u daar uitvoert. Het is prettig dat in de wet geregeld is dat cookies niet zomaar op uw computer mogen worden geplaatst, maar eigenlijk heeft u de overheid niet nodig om voor u te bepalen welke cookies websites allemaal wel en niet op uw harde schijf mogen zetten. Via de instellingen van uw browser kunt u namelijk zelf bepalen hoe u met cookies wilt omgaan. U kunt het accepteren van cookies daar in- en uitschakelen.
Weigeren of accepteren
functionele cookies
tracking cookies
Meestal vindt u de mogelijkheden voor cookies in het tabblad Privacy van uw optiesmenu. Eén van de zaken die u hier kunt regelen, is aangeven of u functionele cookies en cookies van derden (tracking cookies) wilt accepteren. Alle combinaties zijn mogelijk. Alles weigeren, beide accepteren of het ene type wel en het andere niet.
Communiceert u met een apparaat uit de Apple-stal, dan kunt u cookies blokkeren in Apple-browser Safari. Tot halverwege 2015 bestond die mogelijkheid niet, maar Apple heeft een adblocker beschikbaar gesteld die advertenties, cookies, afbeeldingen en pop-ups blokkeert.
uitzonderingslijst
Het nadeel van functionele cookies standaard weigeren, is dat sommige websites niet goed meer functioneren. Inloggen kan bijvoorbeeld mislukken. Als alternatief voor standaard weigeren kunt u websites bij elk bezoek om toestemming laten vragen. U moet dan wel over een hoge irritatiegrens beschikken; elke keer dat een website cookies wil plaatsen, krijgt u immers een melding in beeld. Natuurlijk is het mogelijk om uitzonderingen aan te wijzen. Wilt u dat een bepaalde website nooit cookies mag plaatsen of juist wel, dan kunt u die aan de uitzonderingslijst toevoegen.