Mag een werkgever de gangen van de werknemer op internet na gaan? En zo ja, welke wettelijke grenzen gelden daarbij? Uitgangspunt is dat een werknemer ook op de werkvloer recht heeft op privécontacten. Dit is in de rechtspraak gedefinieerd als een “reasonable expectation of privacy”. Zoals het vroeger ook aanvaardbaar werd gevonden dat even een privételefoontje werd gepleegd, zal het nu in het algemeen mogelijk moeten zijn om onder werktijd een e-mail of tweet met privé karakter te versturen of een bericht op Facebook te plaatsen. Ook indien dit via computers en/of het netwerk van de werkgever wordt gedaan.
Gebruik van social media heeft echter wel een veel groter bereik dan het ‘ouderwetse’ telefonisch of persoonlijke contact. Indien er berichten de wereld in worden gezonden die over de werkgever of collega’s gaan, kan dit voor de werkgever een (afbreuk)risico vormen. Omdat er bijvoorbeeld negatieve uitlatingen worden gedaan of bedrijfsgeheimen worden prijsgegeven. Het is begrijpelijk -en ook wel te rechtvaardigen - dat werkgevers hier zicht op willen houden. Maar ook netwerkbeveiliging zal een drijfveer kunnen zijn, evenals het willen voorkomen en bestrijden van ongewenste zaken als discriminatie en seksuele intimidatie.
Het controleren van activiteiten op internet raakt de privacy van de werknemer en daarmee komt de Wet Bescherming Persoonsgegevens (WBP) in beeld. De WBP geeft slechts zeer algemene normen voor de verwerking van persoonsgegevens en hoe zorgvuldig met privacy moet worden omgegaan. Hoofdregel daarbij is dat de WBP niets verbiedt, maar dwingt tot nadenken en het bepalen van een beleid. De inhoud van het beleid zal sterk afhankelijk zijn van aard van de onderneming. Een onderneming met exclusieve high tech producten zal een groot belang hebben bij het frequent screenen van activiteiten op fora, waar engineers discussiëren en kennis uitwisselen. Dat zal voor een organisatie die bulkproducten produceert anders zijn. Organisaties met een publieke functie en een verondersteld onberispelijk imago, zoals de politie, zullen een relatief groot afbreukrisico ervaren van ‘onhandige’ uitlatingen op social media.
De WBP schrijft voor dat persoonsgegevens alleen mogen worden verwerkt als dit in overeenstemming is met de wet, en als dit op behoorlijke en zorgvuldige wijze gebeurt. Daarnaast mogen persoonsgegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Vaak zal er wel een gerechtvaardigd doeleinde voor het monitoren van werknemers bestaan in het voorkomen en inperken van schadetoebrengend gedrag.
Op grond van artikel 8 WBP zal de verwerking gebaseerd moeten zijn op één van de in dat artikel genoemde rechtvaardigingsgronden. Toestemming van de werknemer lijkt de meest voor de hand liggende rechtvaardigingsgrond te zijn, bijvoorbeeld te verkrijgen bij indiensttreding als onderdeel van een personeelshandboek dat van toepassing wordt verklaard. Echter, de heersende leer is dat een werknemer in wezen niet in staat is vrijelijk zijn toestemming te verlenen, omdat deze zich in een afhankelijke positie bevindt. En bovendien kan toestemming ook weer ingetrokken worden.
Een meer solide grond voor gegevensverwerking kan worden gevonden in artikel 8 sub b WBP: de verwerking die noodzakelijk is voor belangenbehartiging werkgever, dat prevaleert boven privacybelang werknemer. Voor het controleren van het gebruik van social media kan de werkgever vaak wel aannemelijk maken dat daarvoor een gerechtvaardigd belang bestaat, waarvoor het privacybelang van de werknemer moet wijken. Ik noemde hierboven al een aantal redenen waarom de werkgever zicht zal willen houden op wat werknemers op social media en internet in brede zin doen.
Bij een juiste toepassing van de WBP draait het om maatwerk. Telkens zal een belangenafweging moeten worden gemaakt. Welk doel dient de controle? En hoe kan dit doel met een zo beperkt mogelijk inbreuk worden bereikt? Wat is nog relevant om te weten en wanneer is het louter gebaseerd op nieuwsgierigheid? Zoals gezegd, de WBP dwingt tot nadenken, tot formuleren van een beleid en tot transparantie. De privacyinbreuk moet kenbaar zijn. Een concrete stap is het opstellen van een social media- en ICT-beleid, waarin duidelijk wordt welke spelregels gelden en welke controlemethodieken de werkgever gebruikt. Over een social mediabeleid en het mogelijke instemmingsrecht van de ondernemingsraad publiceerden wij recent de volgende artikelen:
Het social media protocol - inleiding, tip 1 - transparatie, tip 2 - bevoegdheid, tip 3 - kansen, tip 4 - juistheid informatie, tip 5 - kennisneming en ten slotte tip 6 - handhaving.
Verder kan ik u verwijzen naar de publicatie van het College Bescherming Persoonsgegevens ‘Goed werken in netwerken. Regels voor controle op e-mail en internetgebruik van werknemers’. Een publicatie die al in 2002 is opgesteld, toch kan een werkgever die bezig is een beleid op te stellen nog steeds inspiratie opdoen in dit document. Zaken waaraan niet direct gedacht zal worden, zoals het garanderen van de integriteit van systeembeheerder (opleggen geheimhoudingsplicht, artikel 12 lid 2 WBP), maar ook rekening houden met back-ups van het systeem. Onzorgvuldig en onbevoegd gebruik van een back up kan even schadelijk zijn voor de persoonlijke levenssfeer. En tot slot een voor de hand liggende vuistregel, die tegenwoordig zowel door werkgevers als werknemers wel eens wordt vergeten: behandel zaken online op dezelfde manier als offline.
Werknemers monitoren op social media
Mag een werkgever de gangen van de werknemer op internet na gaan? En zo ja, welke wettelijke grenzen gelden daarbij? Uitgangspunt is dat een werknemer ook op de werkvloer recht heeft op privécontacten. Dit is in de rechtspraak gedefinieerd als een “reasonable expectation of privacy”. Zoals het vroeger ook aanvaardbaar werd gevonden dat even een privételefoontje werd gepleegd, zal het nu in het algemeen mogelijk moeten zijn om onder werktijd een e-mail of tweet met privé karakter te versturen...
Leestijd
Auteur artikel
Jokelien Brouwer-Harbach (uit dienst)
Gepubliceerd
31 mei 2013
Laatst gewijzigd
16 april 2018