Het College Bescherming Persoonsgegevens (CBP, vroeger Registratiekamer) publiceerde al in 2001 een rapport 'Goed werken in netwerken' over email en Internet op het werk. In het rapport valt te lezen enig privégebruik van email en Internet op het werk mag worden verwacht. Een uitspraak van een rechter in Haarlem had dit eerder al duidelijk gemaakt. Ook is duidelijk dat email en (gegevens over) internetgebruik vallen onder de bescherming van de Nederlandse privacywetgeving. Daarmee zijn er automatisch verplichtingen van de werkgever om zorgvuldig om te gaan met email en internetgegevens.

Recht om te controleren

Aan de andere kant wordt ook algemeen erkend dat de werkgever een recht heeft om email en internetgebruik te controleren. Voorwaarde is dat de werkgever die controles uitvoert met een duidelijk doel. Bovendien moet de controlemaatregelen in een redelijke verhouding staan tot de belangen van de werknemer. Tot belangen van de werknemer kunnen behalve privacy ook vrijheid van meningsuiting of recht op bepaalde informatie worden gerekend.

Adviezen aan werkgever

Uit genoemd rapport  kon je al de volgende adviezen of vuistregels afleiden:

• Probeer email en internet net zo te behandelen als niet-electronische vormen van communicatie en toegang tot informatie.
• Maak vooraf regels, bij voorkeur in goed overleg met werknemers (OR), en communiceer die duidelijk.
• Geef in die regels aan in hoeverre privé-gebruik van email- en internetfaciliteiten mag en onder welke voorwaarden.
• Evalueer de regels periodiek omdat de wereld van ICT snel verandert
• Als privégebruik van email wordt toegestaan streef dan naar een scheiding tussen zakelijk gebruik en privégebruik.
• Maak verboden gebruik zoveel technisch onmogelijk.
• Leg in de regels vast welke controles er plaatsvinden op email- en internetgebruik en naleving van de regels en met welk doel die plaatsvinden. Doelen kunnen zijn:
  • Begeleiding of beoordeling van de zakelijke communicatie, efficiency
  • Bewijs of dossiervorming
  • Systeem- en netwerkbeveiliging
  • Controle op bedrijfsgeheimen
  • Voorkomen van negatieve publiciteit
  • Tegengaan van seksuele intimidatie
  • Naleving afspraken over verboden gebruik
  • Kosten- en capaciteitsbeheersing
• Streef waar controle nodig is zoveel mogelijk naar geautomatiseerde controle en controle met behulp van anonieme of geaggregeerde rapportages en statistieken.
• Beperk het loggen van het netwerkgebruik tot de verkeersgegevens (e-mail) of de gegevens die noodzakelijk zijn voor het doel (internet) en bewaar de loggegevens niet langer dan noodzakelijk.
• Bespreek ongewenst gedrag rondom email en internet zo snel mogelijk met betrokkene(n) en geef daarbij inzage in de gegevens waaruit dit blijkt.
• Maak duidelijke afspraken met de (IT) mensen die toegang hebben tot email van werknemers en gegevens over email- en internetgebruik.
• Ontzie bij controles van email en internetgebruik zoveel mogelijk geprivilegieerde informatie van werknemers met functies als OR-lid, bedrijfsartsen, vertrouwenspersoon.

Duidelijke afspraken

Natuurlijk zijn er al verschillende incidenten in het nieuws gekomen. Uit de jurisprudentie die naar aanleiding van geschillen is ontstaan blijkt dat sancties van de werkgever (bijvoorbeeld ontslag) op email- of internetmisbruik door de rechter worden geaccepteerd als er duidelijke afspraken zijn gemaakt tussen werkgever en werknemer over gebruik van email en Internet. Daarin moet het door de werkgever aangepakte ge- of misbruik nadrukkelijk als onwenselijk en/of verboden zijn bestempeld en er moet ook uit blijken wat mogelijke sancties zijn. Ontbreken de afspraken dan kan het verschillende kanten opgaan en neigt de rechter er eerder naar de werknemer te beschermen.

Gedragscodes, protocollen en raamregelingen

Om te bevorderen dat afspraken tot stand komen hebben verschillende organisaties, zoals bvakbonden CNV en FNV Bondgenoten, model gedragscodes en voorbeeldprotocollen gemaakt. Het College Bescherming Persoonsgegevens kwam met een raamregeling voor email en Internetgebruik. Werkgevers kunnen deze als startpunt nemen voor duidelijke afspraken. Aanpassing aan de cultuur en gewoontes van de organisatie is wel heel belangrijk.

Niet alleen problemen voorkomen

Het voorgaande heeft vooral betrekking op verboden gedrag van zowel werkgever als werknemer. Daarmee blijft nog een heel groot en belangrijk gebied buiten beschouwing. Email en internet worden steeds meer gebruikt om het dagelijkse werk te doen en dus hebben werkgever en werknemer belang bij efficiënt en plezierig gebruik van deze middelen.In de praktijk is het een goed idee meer te regelen tussen werkgever en werknemer over email internet en eigenlijk in het algemeen pc-gebruik.

Educatie

Aan de negatieve kant is het belangrijk dat een werkgever aan de werknemer uitlegt wat zijn of haar invloed is op het ontvangen van spam en het onstaan van beveiligingsrisico's. Een goed contact en vaak ook educatie van gebruikers is minstens zo belangrijk als het nemen van technische maatregelen om problemen met spam of beveiliging te voorkomen.

Werken aan voordelen van email, internet en PC

Ook is er een groot belang om werknemers maximaal te laten profiteren van de voordelen en minimaal last te hebben van de mogelijke nadelen van email-, internet- en PCgebruik. Veel werknemers worden behoorlijk aan hun lot overgelaten als het gaat om het goed inzetten van deze middelen voor persoonlijke organisatie. De bemoeienis van de werkgever is heel vaak beperkt tot het verschaffen van hard- en software en misschien op z'n tijd een cursus. In de regel zijn er ook vooral ICT medewerkers mee bezig. Toch is het niet goed regelen van de persoonlijke organisatie rondom email, internet en pc een bron van stress en frustratie van veel werknemers en een enorme verliespost wegens onnodig efficiencyverlies.

Uitwisselen kennis bevorderen

Ook speelt email en internetgebruik in toenemende mate een rol bij het uitwisselen van kennis tussen werknemers. Ook op dit terrein is vaak veel te verbeteren.

Positief beleid

Het is goed als de werkgever een beleid ontwikkelt voor gebruik van email en internet. Dat beleid begint als gezegd bij heldere afspraken die goed worden gecommuniceerd. Die afspraken moeten zich niet beperken tot wat de werknemer mag en niet mag en wat de werkgever wel en niet toestaat en controleert. Het is belangrijk dat ook positieve doelen worden geformuleerd. Daarmee bedoel ik dat het een goed idee is om *ook* duidelijk af te spreken:

• welk belang de werkgever hecht aan inzet van email en internet om het werk gedaan te krijgen en de organisatiedoelen te halen
• hoe de werkgever zal bijdragen aan optimaal gebruik van email, internet en de pc in het algemeen
• hoe de werknemer dat kan doen, wat de verwachtingen zijn van de werkgever en hoe deze een inspanning op dit terrein waardeert

Ruimte geven binnen grenzen

Een werkgever doet zichzelf een groot plezier als niet alleen wordt gekeken naar de beperkingen maar als ook ruimte wordt gegeven aan mensen om uit te vinden wat goed werkt. De belangstelling en talenten voor email, internet en technologie zijn oneerlijk verdeeld en van veel factoren (waaronder soms leeftijd) afhankelijk. Met duidelijke positieve doelstellingen en stimulerend beleid kun je als werkgever bereiken dat mensen hun weg vinden en elkaar helpen. Als de grenzen ook vooraf duidelijk zijn is die vrijheid zelden een groot probleem.

Nuttige bronnen:

• Model-gedragscode CNV
• Artikel op CNV site over jurispredentie rond verboden internetgebruik
• Voorbeeldprotocol FNV Bondgenoten (download)
• Raamregeling College Bescherming Persoonsgegevens
• Rapport 'Goed werken in Netwerken' van CBP
• Website College Bescherming Persoonsgegevens
• Special van Netkwesties over het rapport Goed werken in netwerken
• Artikel Netkwesties over Controle op surfen door werkgevers
• Doxis factsheet 'Controle van email en Internet op de werkplek' (PDF)
• Webwereld artikel uit 2002 over EY onderzoekt dat spreekt over schrikbarende toename privésurfen
• Artikel met de juridische details over emailgeheim op de werkplek door het Instituut voor Informatierecht (IVIR) aan de Universiteit van Amsterdam