Controle e-mail- en internetgebruik op het werk

Het College Bescherming Persoonsgegevens (CBP) krijgt regelmatig verzoeken van bedrijven en organisaties voor het toetsen van een e-mail- en internetregeling. Het CBP heeft een raamregeling ontwikkeld die besproken is met werkgevers- en werknemersorganisaties en die een aantal vuistregels geeft aan de hand waarvan een organisatie het eigen beleid omtrent controle op e-mail- en internetgebruik kan toetsen. Concrete invulling is maatwerk en moet daarom binnen de eigen organisatie plaatsvinden.

Voor de invoering van een regeling met betrekking tot controle op het gebruik van e-mail en internet is instemming van de ondernemingsraad vereist. Enkele hoofdpunten uit de raamregeling zijn: persoonsgegevens mogen slechts voor welbepaalde, duidelijk omschreven en gerechtvaardigde doeleinden verwerkt worden, zoals bijvoorbeeld begeleiding en/of individuele beoordelingen, bewijs en archivering, bescherming van bedrijfsgeheimen, voorkomen van negatieve publiciteit en tegengaan van seksuele intimidatie. Persoonsgegevens over e-mail- en internetgebruik worden niet langer bewaard dan noodzakelijk, met een maximum bewaartermijn van zes maanden. Niet de technische mogelijkheid van controle, maar de noodzaak dient de vorm en de maat hiervan te bepalen. Met andere woorden: het beleid voor on-line gedrag moet in overstemming zijn met het beleid voor off-line gedrag. De werkgever treft voorzieningen over de positie en integriteit van de systeembeheerder en/of de afdeling systeembeheer en de controle daarop. Controle vindt in beginsel plaats op het niveau van getotaliseerde gegevens die niet herleidbaar zijn tot individuele personen. Korte periode gerichte controle Indien een werknemer of een groep werknemers ervan wordt verdacht de regels te overtreden, kan gedurende een vastgestelde (korte) periode gerichte controle plaatsvinden. Controle beperkt zich in principe tot verkeersgegevens van het gebruik van e-mail en internet. Alleen bij zwaarwegende redenen vindt er controle op de inhoud plaats. ’Verboden’ e-mail- en internetgebruik wordt zoveel mogelijk softwarematig onmogelijk gemaakt.

E-mail berichten van ondernemingsraadleden, bedrijfsartsen en andere medewerkers met een vertrouwensfunctie zijn in beginsel uitgesloten van controle. Wat is verantwoord gebruik?In de raamregeling kunnen gedragsregels worden opgenomen over wat er in de organisatie onder verantwoord e-mail- en internetgebruik wordt verstaan. Als één van de opties geeft de raamregeling aan dat werknemers incidenteel en kortstondig het e-mail- en internetsysteem voor persoonlijke doeleinden mogen gebruiken, mits dit niet storend is voor de dagelijkse werkzaamheden en het computernetwerk. Verantwoord e-mailgebruik bestaat bijvoorbeeld uit een correcte vermelding van de afzender, het meesturen van een disclaimer, een duidelijke onderwerpaanduiding indien het een privé-mail betreft en het verbod op het meesturen van attachments. Niet verantwoord is bijvoorbeeld het versturen van dreigende, beledigende, seksueel getinte dan wel discriminerende berichten alsmede het versturen van kettingbrieven. Bij onverantwoord internetgebruik geeft de raamregeling als opties het bewust bezoeken van sites die pornografisch, racistisch, discriminerend, beledigend of aanstootgevend materiaal bevatten of onethisch handelen. Niet verantwoord is het downloaden van software en applicaties. Verzoek van de werknemer De werknemer kan zich tot de werkgever wenden met het verzoek om een volledig overzicht van zijn verwerkte persoonsgegevens.

Het verzoek wordt binnen vier weken beantwoord. De werknemer kan de werkgever daarnaast verzoeken zijn persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel onvolledig of niet terzake dienend, dan wel in strijd met een wettelijk voorschrift worden verwerkt. Ook dit verzoek wordt binnen vier weken beantwoord. De werknemer kan bij de werkgever verzet aantekenen tegen de verwerking van zijn persoonsgegevens in verband met bijzondere persoonlijke omstandigheden. De werkgever oordeelt binnen vier weken na ontvangst van het verzet of dit gerechtvaardigd is.

september 2002