Van wie is die e-mail eigenlijk?

Het recht op bescherming van de persoonlijke levenssfeer is vastgelegd in de Nederlandse en Europese Grondwet. Maar hoe zit het met privacy in de werksfeer en de scheiding tussen werk en privé?

5711
1

De wereld om ons heen verandert razendsnel. In het onderzoeksprogramma The future of work in the 21st century brengt de Economist Intelligence Unit de belangrijkste trends in kaart die onze werkwijzen de komende 10 tot 15 jaar ingrijpend zullen veranderen. Succesvol ondernemen vereist een flexibele organisatie die kan meebewegen en medewerkers die verandering aanjagen en omarmen. Ook privacy in de werksfeer als gevolg van werk-privé integratie is iets wat aandacht behoeft.

Het recht op bescherming van de persoonlijke levenssfeer is vastgelegd in de Nederlandse en Europese Grondwet. Maar hoe zit het met privacy in de werksfeer en de scheiding tussen werk en privé? Over de zakelijke e-mails die Hillary Clinton verstuurde vanaf haar privémailserver is recent al veel te doen geweest in de media, maar hoe is dat geregeld voor de gemiddelde medewerker? Mag de werkgever zomaar e-mail controleren? Ook wanneer het van een eigen mobiel wordt verstuurd?

Bijna iedereen stuurt weleens een privémail vanaf het werk of ontspant de geest met een bezoekje aan een website die niets met werk te maken heeft. Andersom gaat er ook privétijd naar de baas, met een telefoontje na zessen of het lezen van e-mail op zaterdagmiddag. De grenzen tussen werk en privé stoppen niet bij de (virtuele) prikklok. Werkdocumenten kunnen op de harde schijf staan van een desktopcomputer, maar ook op de laptop of tablet thuis, in de cloud en op mobiele telefoons die van de werkgever of van de werknemer zijn. Werkdocumenten zijn over het algemeen eigendom van het bedrijf en apparaten verschaft door de werkgever, zijn bedrijfsmiddelen. E-mail is echter een ander verhaal, want ook al gaan de berichten over werk, de werkgever mag geen e-mail inzien zonder toestemming van de verzender en de ontvanger.

Ook al gaan de berichten over werk, de werkgever mag geen e-mail inzien zonder toestemming van de verzender en de ontvanger

Privé op het werk mag
Privacy op de werkvloer is grotendeels geregeld door de wet. Artikel 8 van het Europese Verdrag tot bescherming van de rechten van mens en de fundamentele vrijheden (EVRM) beschermt de persoonlijke levenssfeer, waaronder privé-, familie- en gezinsleven, de woning en correspondentie. En onder correspondentie vallen ook e-mail en telefoongesprekken. Dus alhoewel de werkgever eigenaar is van de internetverbinding en het telefoonabonnement, krijgt hij niet zomaar toegang tot de informatie die over die lijnen heen en weer gaat. En het privégebruik van de zakelijke telefoon- en internetverbindingen mag niet zomaar worden verboden.

Dit is juridisch vastgelegd in het arrest Copland voor het Europees Hof voor de rechten van de mens (EHRM) in 2007. Mevrouw Copland werkte bij een universiteit in Groot-Brittannië en kwam er per ongeluk achter dat haar e-mail, websitegebruik en telefoongesprekken werden gevolgd. Men wilde weten wie zij belde en mailde en hoe lang zij welke websites bezocht. Dat vond zij onterecht. Het Hof erkende dat een werknemer ook op de werkplek een redelijke verwachting mag hebben van de bescherming van zijn persoonlijke levenssfeer. Het controleren van werknemers mag dus niet stiekem, de werkgever moeten zijn mensen van tevoren op de hoogte brengen.

Rechten van de werkgever
Betekent dit dat de werknemer zijn eigen gang kan gaan? Neen. De werkgever heeft wel degelijk rechten, ook al gaat het bedrijfsbelang onder normale omstandigheden nooit boven de privacy van de werknemer. De werkgever moet legitieme redenen hebben om die privacy te beperken; bijvoorbeeld kosten en beveiligingsrisico’s. Een werkgever mag websites blokkeren die buitenproportioneel veel verkeer vergen of die een hoog risico van virussen met zich meedragen. Hij mag misbruik verbieden van faciliteiten en een beperking leggen op gebruik van social media, potentiële bronnen van arbeidsconflicten en pr-rampen. Belangrijk is dat de maatregel die de werkgever neemt, de minst ingrijpende maatregel is om schade te voorkomen aan de bedrijfsvoering. Voorgaande voorbeelden beperken de vrije meningsuiting van de werknemer, maar ze zijn legaal. Een werknemer kiest hiervoor wanneer hij in dienst treedt. Daarom is het ook belangrijk dat de maatregelen bekend zijn en niet anoniem worden toegepast.

De werkgever moet legitieme redenen hebben om de privacy te beperken; bijvoorbeeld kosten en beveiligingsrisico’s

Persoonsgegevens
Het wordt enigszins anders, wanneer het gaat om persoonsgegevens. Dit zijn gegevens die direct of indirect iets zeggen over een natuurlijk persoon en die terug te leiden zijn naar specifiek persoon. Naam, adres, telefoonnummer en woonplaats liggen voor de hand. Maar gevoelige informatie als gezondheid, strafrechtelijk verleden, politieke voorkeur en godsdienst valt onder bijzondere persoonsgegevens en krijgen ook extra bescherming van de wet. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens.

Zodra een organisatie of bedrijf persoonsgegevens verwerkt, is de Wet bescherming persoonsgegevens (Wbp) van toepassing. De kern hiervan is, dat een bedrijf een legitiem doel moet hebben om persoonsgegevens te verwerken, zoals salarisuitkering of een abonnementsservice. De verwerker is wettelijk verplicht om die persoonsgegevens goed te beveiligen. Anoniem monitoren en loggen van internetgebruik is niet gebonden aan de regels van de Wbp. Het aanmelden voor werk middels een vingerafdruk ook niet, als die vingerafdruk niet direct te herleiden is naar een specifiek persoon. Dit voorbeeld komt van Uitzendbureau Tempo-Team, dat voor hun flexwerkers vingerafdrukkastjes plaatst bij klanten, die de ouderwetse prikklokken vervangen. De projectleider of ploegbaas kan onmiddellijk zien of iedereen binnen is. Het idee is dat de vingerafdrukken door een code worden geanonimiseerd, zodat ze niet direct te herleiden zijn naar een persoon. Maar een vingerafdruk is uiteindelijk altijd herleidbaar naar een persoon. Ook al betekent het in de praktijk dat een hacker daarvoor systemen zou moeten kraken en codes stelen. Sommige juristen worden wat nerveus dat biometrische data steeds vaker wordt gebruikt om informatie te ontsluiten en volgen de technologische ontwikkelingen op de voet. Eensluidende uitspraken zijn er nog niet over gedaan.

In de Cloud
Tot slot is er nog de cloud, waar werkgevers en werknemers naar hartenlust documenten delen. Wanneer gebruikers een account aanmaken bij publieke diensten als Google Drive, Dropbox en iCloud, gaan zij akkoord met de gebruikersvoorwaarden van de aanbieder. Bijna niemand heeft door dat zij bij sommige dienstverleners dan ook akkoord gaan met het hergebruik van geüploade gegevens ter promotie van die diensten. “Auteursrecht van de daar gedeponeerde beelden en documenten wordt niet automatisch overgedragen,” zegt ICT-jurist Niels Winters van ICTRecht B.V., “maar impliciet geeft een gebruiker wel het recht tot hergebruik uit handen. Ik vind dat werkgevers de verantwoordelijkheid hebben zich bewust te zijn van die risico’s en die hun werknemers duidelijk te maken.”

Maak beleid
Winters vindt het sowieso verstandig als werkgevers een duidelijk beleid hebben voor wat en niet mag op het gebied van bedrijfscomputers, -tablets en -telefoons, bedrijfsmail en internetverbinding. “Duidelijkheid vooraf voorkomt een hoop problemen achteraf.” Het College Bescherming Persoonsgegevens (CBP) legt op haar website alles uit over persoonsgegevens, over de Wet bewerking persoonsgegevens (Wbp) en wat te doen in het geval van verwerking en beveiliging van persoonsgegevens.

ICTRecht biedt een online generator voor BYOD-beleid op maat. Na het beantwoorden van een aantal vragen, wordt een relevant Word-document gecreëerd dat de werkgever verder zelf kan aanpassen.


Dit artikel is tot stand gekomen in samenwerking met NRC Media.

Downloads bij dit artikel

  • Gratis e-book ‘IT op orde’eBook

    Mobiel werken, cloud computing, CYOD, enterprise mobility zijn de werktrends van deze tijd. Medewerkers willen altijd en overal kunnen werken, online vergaderen en bestanden delen. Ook vanaf hun mobiele device. Maak uw IT klaar voor deze trends,  en lees het eBook ‘IT op orde’.

  • The future of work in the 21st centuryWhitepaper

    Geautomatiseerd, creatief en decentraal: 'The future of work in the 21st century' is een studie van The Economist Intelligence Unit (EIU). Het rapport probeert de belangrijkste trends te identificeren die de aard van werk en het werken in de komende 10-15 jaar zullen beïnvloeden.

Karina Meerman Technologie & Ondernemen

"Uitstellen kan altijd nog."

Reageer ook

Reacties 1

Jan ,

Ik ben eigenlijk op zoek naar het antwoord op de vraag of een werkgever, ongevraagd een email adres mag aanmaken met je eigen naam en @ bedrijfsnaam.com Ik kan hier echter geen antwoord op vinden.


Reageer

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Reageer ook