Op 22 augustus 2012 heeft de privacy-commissie een dossier cybersurveillance op zijn website gepubliceerd met daarin enkele aanbevelingen ingeval van toegang van de werkgever tot of controle door de werkgever op de elektronische communicaties verricht door zijn personeel. De privacy-commissie oordeelt dat de werkgever zijn informatica-infrastructuur niet zonder meer mag gebruiken als elektronisch controlemiddel op de elektronische communicatie van zijn werknemers. Maar het louter gebruik door werknemers van diezelfde informatica-infrastructuur, mag ook de werkgever niet zonder meer verhinderen om de elektronische communicatie verricht door zijn personeel te controleren of er toegang tot te hebben.

Onderstaand de grote lijnen van deze nieuwe aanbevelingen, die niet jurisch afdwingbaar zijn..

• De privacy-commissie raadt de werkgevers aan om zoveel mogelijk afspraken (juridische, technische en organisatorische regels, bijvoorbeeld geen privé-mails versturen) en procedures (bijvoorbeeld klassement van e-mail, bewaren van bestanden) uit te werken, die ertoe moeten leiden dat er geen nood is aan toegang van de werkgever tot of controle van hem op persoonlijke informatie van de werknemers.
• Dat geldt niet alleen voor de werkgever, maar ook voor de werknemers (bijvoorbeeld persoonlijke gegevens zoveel mogelijk afschermen voor derden).

Controle op gebruik e-mail systeem en cameratoezicht

• De privacy-commissie raadt de werkgever aan om zich te verzekeren van de naleving van het wettigheidsbeginsel (bijvoorbeeld enkel persoonsgegevens in de door de Privacy-wet toegelaten gevallen mogen verwerkt worden).
• Zij raadt ook aan om de mogelijke inmenging in de privacy van werknemers te bespreken (bijvoorbeeld iedere toegang tot persoonsgegevens moet gemotiveerd worden) en het toezicht -en de controleverrichtingen te omkaderen (bijvoorbeeld speciale regels opmaken inzake toegang en gebruik voor de systeembeheerder).
• De privacy-commissie raadt ook aan om de naleving van de wettelijke regels te waarborgen en de veiligheid van het toezicht door controle te versterken (bijvoorbeeld het beheer en onderhoud van de instrumenten en netwerken laten verzekeren door een externe dienstverlener) .

Praktische gedragsregels

• Hou professionele en privé-informatie zo veel mogelijk gescheiden (bijvoorbeeld door te vermelden welke informatie louter privé is in een ICT-policy).
• Sluit bepaalde risicovolle handelingen uit (bijvoorbeeld door de toegang te blokkeren tot bepaalde websites) .
• Toegang tot persoonlijke communicatie vereist een specifieke omkadering (bijvoorbeeld: gebruik specifieke mappen en indien er berichten moeten worden geselecteerd, zal men een neutrale vertrouwenspersoon aanduiden, die gehouden is tot vertrouwelijkheid en gemachtigd is om de hoedanigheid van die berichten te beoordelen).
• Beperk het toezicht tot noodzakelijke gegevens en hergebruik in geen geval de ingezamelde gegevens (bijvoorbeeld logs, journalen eerst globaal bekijken en pas nadien individualiseren).
• Onverenigbaarheden invoeren in de toegangsrechten voor eenzelfde persoon. Een gebruiker zou niet mogen in staat zijn om onrechtmatige handelingen te verdoezelen, bijvoorbeeld door sporen die gegenereerd worden door zijn handelingen te wijzigen.
• Beheer van de sporen (bijvoorbeeld mogelijkheid om de dagelijkse en praktische naleving van de goede uitvoering van de procedures na te zien).
• Functioneringsregels bepalen (bijvoorbeeld het opstellen van regels bij het opmaken van de "Out of Office"-berichten).

Het is duidelijk dat de toegang tot elektronische communicatie of Internet-gegevens niet enkel een kwestie van toezicht is. Het gaat ook om het beheer en de organisatie van de activiteiten van de werkgever.

Hoewel de werkgever er rechtmatig belang bij heeft toegang te hebben tot deze informatie, zal steeds rekening moeten gehouden worden met de bescherming van de persoonlijke levenssfeer van de werknemer, ook op de werkvloer.

De verschillende wettelijke bepalingen moeten immers nageleefd worden door de werkgever, indien hij kennis wil nemen van elektronische communicatie en communicatiegegevens waarvan het gebruik door de werknemers meer en meer wordt veralgemeend.

Dat kan vermeden worden door aan de werknemers te vragen om private mails via een persoonlijk e-mail adres te laten verlopen. Indien de werkgever in de ICT-policy heeft voorzien dat het dubbel gebruik van het e-mail systeem (professioneel en privaat) verboden is, dan mag de werkgever er in principe van uit gaan dat alle e-mails een beroepsmatig karakter hebben en dit zeker voor de verzonden berichten.

Bij binnenkomende mails zal de werkgever voorzichtiger moeten optreden, vermits de werknemer er de auteur niet van is en bepaalde mails zelfs niet verwachtte. Wanneer de werkgever bij een dergelijke rechtstreekse toegang niettemin een private e-mail aantreft, krijgt hij daar op rechtmatige wijze kennis van.

Dit betekent evenwel nog niet dat zo’n privé-mail, nadien voor eender welk doel (bijvoorbeeld een gebruik met bedrieglijk opzet of met het oogmerk de betrokken werknemer of derde te schaden) mag gebruikt worden. Een verder gebruik moet beantwoorden aan de vereisten van de Privacy-wet .

Werkgevers die dit niet kunnen of willen zullen onvermijdelijk moeten aanvaarden dat een personeelslid een hogere privacy-verwachting kan laten gelden over zijn elektronische postbus. Een absoluut verbod om het e-mail systeem van de werkgever beperkt te gebruiken voor privé-doeleinden is immers moeilijk verdedigbaar.

Meer informatie kan u vinden op www.privacycommission.be onder de rubriek “Privacy-thema's”.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Group S - Sociaal Secretariaat V.Z.W. Info: www.groupes.be).