17/08/2011

Privacybescherming op het werk. Mag een werkgever het internetgebruik en e-mailverkeer van zijn werknemers controleren?

Het blijft een delicaat iets. Door een arbeidsovereenkomst aan te gaan verbinden werknemers zich ertoe hun activiteiten uit te voeren in naam en voor rekening van hun werkgever. Alle handelingen die zij in dat verband stellen worden dus geacht in functie te zijn van hun professionele activiteiten.

De realiteit is echter anders. Vaak worden via de professionele account van de werkgever ook privé e-mails verstuurd, of wordt de internettoegang voor privé aangelegenheden gebruikt. Vraag is of u dit als werkgever zonder meer mag controleren. Werknemers staan immers onder uw gezag en toezicht?  Anderzijds zijn er echter ook de principes inzake privacybescherming... Met deze nieuwsbrief brengt Mr. Dirk Clarysse u de voornaamste zaken onder de aandacht.

Uitgangspunt

Werknemers staan onder gezag en toezicht van hun werkgever. Zodoende beschikt men als werkgever over een controlerecht, dat hem principieel het recht geeft om kennis te nemen van inkomend en uitgaand e-mail verkeer van zijn werknemers, en ruimer alle informaticatools die de werknemers gebruiken. Tenzij uitdrukkelijk anders overeengekomen worden werknemers immers geacht om, wanneer zij gebruik maken van de middelen die de werkgever hen ter beschikking stelt (pc, e-mail account, internettoegang,...), dit te doen in functie van de uitvoering van hun arbeidsovereenkomst en dus in naam en voor rekening van de werkgever. Als het werk van de werknemer bijvoorbeeld ook elektronische communicatie inhoudt (met klanten, met leveranciers, met tussenpersonen, edm.), dan moet de werkgever daar in principe inzage in kunnen nemen. 

Daartegenover staan echter de regels inzake privacy- en gegevensbescherming (o.a. deWet 8 december 1992 tot bescherming van de persoonlijke levenssfeer t.o.v. de verwerking van persoonsgegevens), het recht op eerbiediging van het privéleven en het briefgeheim (artn. 22 en 29 van de Grondwet) en het telecommunicatiegeheim (Wet 13 juni 2005 betreffende de elektronische communicatie). Op Europees niveau is er bovendien art. 8 van het Europees Verdrag tot bescherming van de mens en de fundamentele vrijheden (EVRM). Elk van deze bepalingen heeft als doel om de persoonlijke levenssfeer te beschermen, en er aldus onder meer voor te zorgen dat niet eender wie zomaar inzage kan nemen van correspondentie (elektronisch of andere). De vraag is in welke mate werknemers zich daarachter kunnen verschuilen om de werkgever te beletten toegang te krijgen tot hun nochtans professionele e-mail account, of inzage te nemen in hun gebruik van het internet.

De belangen en rechten van de werkgever (recht op gezagsuitoefening, tuchtrecht, eigendomsrecht, opvolging e-mails tijdens afwezigheid werknemer, edm.) versus het recht op privacy en bescherming van de persoonlijke levenssfeer. Hoe ver kan deze bescherming van het privé leven gaan? Is het recht op privacy absoluut? Mag men als werknemer met andere woorden verwachten dat men op het werk een zelfde bescherming geniet als thuis? En kan een werkgever sancties nemen op basis van informatie verkregen middels inmenging in de privé sfeer van een werknemer? Een niet zo eenvoudige evenwichtsoefening...

Het arrest Copland

In een vaak geciteerd arrest van het Europees Hof van de Rechten van de Mens van 2 april 2007 werd Groot-Brittannië veroordeeld wegens een schending van art. 8 van het voormelde EVRM. Initiatiefnemer voor de procedure was een zekere mevrouw Copland, die de persoonlijke assistent was van achtereenvolgens de directeur en de onderdirecteur van het Carmarthenshire College uit Wales (UK), en die op een gegeven ogenblik tot de vaststelling kwam dat het telefoon, internet en e-mail gebruik gemonitord werd. Mevrouw Copland beklaagde zich daarover, zich steunend art. 8 van het EVRM i.v.m. de bescherming van de persoonlijke levenssfeer. Er bestond op de school geen specifiek beleid, en ook de Engelse wetgeving voorzag niet in een regeling.

In dit arrest van 2007 oordeelde het Europees Hof van de Rechten van de Mens dat het monitoren van telefoon, e-mail en internetgebruik, inderdaad een schending uitmaakte van het recht op eerbiediging van de persoonlijke levenssfeer, ook al vindt de communicatie plaats tijdens de werkuren en gebeurt ze met de middelen ter beschikking gesteld door de werkgever. Een werkgever kan niet zonder meer elektronisch toezicht uitoefenen op zijn werknemers. Mevrouw Copland kreeg gelijk, en Groot-Brittannië werd veroordeeld omdat zij op het ogenblik van de feiten (1999-2000) geen reglementering kende dat dergelijk toezicht regelde.

CAO nummer 81

In ons Belgische recht bestaan er wel bepalingen die dergelijk toezicht regelen. Naast de Privacywet van 1992 en de Wet betreffende Elektronische Communicatie van 2005, bestaat er specifiek met betrekking tot de arbeidsrechtelijke context een collectieve arbeidsovereenkomst (CAO) nummer 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van werknemers ten opzichte van controle op elektronische online communicatiegegevens (verkort: CAO nr. 81). De CAO nr. 81 legt de "spelregels" vast waaraan men zich als werkgever dient te houden als men de elektronische communicatie van zijn werknemers wil controleren.

Algemene regel is dat de controle op  elektronische online communicatiegegevens slechts toegestaan is voor zover voldaan wordt aan het finaliteits-, het proportionaliteits- en het transparantiebeginsel, die in de artikelen 5 ev. van de CAO in detail worden toegelicht.

De controle op de elektronische online communicatiegegevens is maar toegestaan mits een of meer van de volgende doeleinden worden nagestreefd, doestellingen die de werkgever in voorkomend geval ten andere ook uitdrukkelijk moet vermelden (het finaliteitsbeginsel):

  • het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden;
  • de bescherming van de economische, handels- en financiële belangen van de onderneming die vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken;
  • de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de onderneming, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties van de onderneming;
  • het te goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van onlinetechnologieën.

De controle op elektronische online communicatiegegevens mag in principe evenwel geen inmenging in de persoonlijke levenssfeer van de werknemer tot gevolge hebben. Is dit in het kader van het finaliteitsbeginsel onvermijdelijk, dan moet deze inmenging in ieder geval tot een minimum beperkt worden en in verhouding of proportie staan tot het doet (het proportionaliteitsbeginsel). Men mag met andere woorden globale informatie verzamelen over bijvoorbeeld de duur van internetgebruik per werkpost of het aantal per werkpost uitgaande e-mails en het volume ervan, zonder deze gegevens te mogen individualiseren.

Om verkregen informatie te kunnen individualiseren - om dus de gegevens die tijdens een door een werkgever georganiseerde controle werden verzameld te verwerken om ze aan een geïdentificeerde of identificeerbare persoon te kunnen toeschrijven - moeten bijkomende voorwaarden in acht worden genomen (artn. 15 en 16 van de CAO nr. 81). De werkgever mag meteen de feiten individualiseren in de eerste drie van de voormelde gevallen waarin controle mogelijk is, met de bedoeling uiteraard om meteen te kunnen ingrijpen en (verdere) schade te kunnen voorkomen. Betreft het een controle om na te gaan of de in de onderneming geldende beginselen en regels voor het gebruik van onlinetechnologieën worden gerespecteerd (het vierde geval), dan kan men niet direct tot individualisering overgaan, maar dan moeten de werknemers eerst collectief geïnformeerd worden over het bestaan van onregelmatigheden en bepaalde regels, en over het feit dat de online communicatiegegevens geïndividualiseerd zullen worden wanneer opnieuw een dergelijke onregelmatigheid wordt vastgesteld.

Het transparantiebeginsel tot slot, houdt in dat de werkgever die een (permanent) systeem voor controle op elektronische online communicatiegegevens wil implementeren, de werknemers daarvan op de hoogte moet stellen middels de Ondernemingsraad, of bij ontstentenis daaraan het Comité voor Preventie op het Werk, de vakbondsafvaardiging of de werknemers zelf. Dit kan gebeuren via algemene instructies of vermelding in het arbeidsreglement, maar dit kan bijvoorbeeld ook in de arbeidsovereenkomst zelf, een ICT policy of in het kader van instructies bij het gebruik van computer (met IP adres) en/of een e-mail account.

Conclusie

Een werkgever mag met andere woorden in bepaalde gevallen effectief het internetgebruik en het e-mailverkeer van zijn werknemers controleren. Als bijvoorbeeld wordt vastgesteld dat buitengewoon grote hoeveelheden gedownload worden op de server, dan mag hij onderzoeken hoe dat komt. Hetzelfde geldt wanneer blijkt dat via de server van het bedrijf veelvuldig sites als Youtube of sociale netwerken worden geconsulteerd, of sites met expliciete, beledigende of discriminerende inhoud. Ook maatregelen van systeembeveiliging om virussen te voorkomen of bedrijfsgeheimen te beschermen zijn toegelaten.

In bepaalde gevallen is het ook toegelaten dat een werkgever zich toegang verschaft tot de mailbox van een werknemer. Bijvoorbeeld wanneer een werknemer afwezig is wegens ziekte of vakantie, en er geen specifieke maatregelen werden getrokken zoals het automatisch doorsturen van e-mails of een afwezigheidsmelding met vermelding van een e-mail adres waarop men terecht kan, moet de werkgever in het kader van de continuïteit van de onderneming en zijn activiteiten, uiteraard toegang kunnen nemen. Maar steeds zullen dus de voormelde regels uit de CAO nr. 81 gevolg moeten worden.

Aanbevelingen van de Privacy commissie

De Commissie voor de Bescherming van de Persoonlijke Levenssfeer, of kortweg Privacy commissie, heeft zich de voorbije jaren reeds meermaals uitgesproken over het vraagstuk van controle door een werkgever, op het internet- en e-mailgebruik op de werkplaats. Recent heeft zij één en ander evenwel opnieuw geëvalueerd, en op basis daarvan een reeks aanbevelingen geformuleerd, die reeds publiek zijn gemaakt en tegelijk het voorwerp zijn van consultatie door de belanghebbenden in deze context. De publieke consultatieronde loopt van 15 juli 2011 t.e.m. 30 november 2011, waarna een definitieve set van richtlijnen (die voor alle duidelijkheid geen bindende regels zijn maar slechts gedragsregels of aanbevelingen) wordt verwacht.

De voornaamste aanbeveling van de Privacy commissie om ervoor te zorgen dat professionele en privé informatie zoveel als mogelijk gescheiden worden, dat  bijvoorbeeld dubbel gebruik van het professionele e-mail systeem wordt vermeden, en dat ook de mogelijkheden om de internettoegang voor private doeleinden te gebruiken uitgesloten of minstens zoveel als mogelijk beperkt wordt. De ingrepen die men daar als werkgever voor dient te doen zijn bovendien minimaal en vergen in ieder geval geen grote investeringen.

Tenzij een werknemer dit voor de uitvoering van zijn arbeidsovereenkomst nodig zou hebben, kunt u als werkgever bijvoorbeeld de toegang tot internet blokkeren. Of u kunt voor één of meerdere werknemers, of voor alle werknemers, de toegang tot bepaalde websites verhinderen. Te denken valt aan websites met een expliciete, beledigende of discriminerende inhoud, sociale netwerksites zoals Facebook en Twitter, e-mailaccounts genre Hotmail of Yahoo, dating sites, touroperators, edm. Gezien een computer en internettoegang ter beschikking wordt gesteld in het kader van een arbeidsovereenkomst waarvoor de toegang tot dergelijke sites niet nodig is, is dat perfect mogelijk.

Wat het e-mailverkeer betreft lijkt een beperking van misbruiken op het eerste zicht moeilijker te organiseren. Nochtans zal men middels een ICT policy waarin is bepaald dat de werknemer geen privéberichten mag versturen vanaf het e-mail adres dat hem door zijn werkgever is toegewezen, al veel kunnen bereiken. Als de werknemer hiervan geïnformeerd is, dan mag de werkgever ervan uitgaan dat de inhoud van de professionele mailbox enkel beroepsmatig is, en dan kunnen er in principe geen discussies rijzen inzake inmenging in de persoonlijke levenssfeer. Ook niet-gepersonaliseerde e-mail adressen zoals verkoop@ of administratie@ mogen in principe gecontroleerd worden, omdat ze niet verbonden zijn aan een persoon maar aan een bepaalde dienst.          

Zijn met betrekking tot e-mailverkeer geen dergelijke afspraken gemaakt, maar is een werknemer bijvoorbeeld afwezig wegens ziekte of vakantie, dan wordt aanvaard dat de werkgever in functie van de continuïteit van de dienstverlening en de werking van de onderneming, toch toegang mag nemen tot de e-mailbox van de werknemer, zij het dat hij zich dan in principe zal moeten beperken tot de communicatiegegevens zelf, en niet de inhoud ervan, zeker niet wanneer duidelijk is dat het geen professionele inhoud betreft. Een uitkomst voor de werknemer in kwestie kan zijn om in zijn inbox een aparte map voor privé e-mails te maken, waar de werkgever dus niet zomaar in mag, of een "afwezigheids assistent" in te stellen, met opgave van het adres van een collega die de zaken opvolgt.  

Het gebruik van onrechtmatig verkregen bewijs

Stel dat u als werkgever informatie heeft bekomen waaruit blijkt dat een werknemer op zijn professionele account behoorlijk veel privé e-mail verkeer voert, en/of dat hij tijdens de werkuren behoorlijk een aanzienlijke tijd spendeert aan het surfen op het net. Dit kan een reden zijn om de werknemer in kwestie te sanctioneren, mogelijks zelfs om dringende redenen te ontslaan. Maar wat als u deze informatie heeft bekomen op een manier die indruist tegen de voormelde regels van de CAO nr. 81. Dan is dat bewijs in principe onrechtmatig verkregen. Is het dan nog wel bruikbaar?

Met een arrest van 14 oktober 2003 oordeelde het Hof van Cassatie dat een onrechtmatig verkregen bewijs slechts tot uitsluiting leidt bij miskenning van op straffe van nietigheid voorgeschreven vormvereisten, wanneer de bewijsverkrijging is aangetast door een gebrek waardoor de betrouwbaarheid ervan wegvalt, of wanneer het recht op een eerlijk proces in gevaar wordt gebracht. In ander gevallen komt het aan de rechter toe om in concreto een belangenafweging te doen en op basis daarvan te beslissen of het bewijsstuk al dan niet toegelaten wordt.

Het ging in dit arrest van het Hof van Cassatie specifiek over bewijsstukken in een strafzaak, maar de principes hebben ondertussen ook ingang gevonden bij onder meer arbeidsrechtbanken en arbeidshoven.  In het geval van bewijsstukken verkregen met miskenning van de persoonlijke levenssfeer zou een rechter dus kunnen oordelen dat de stukken niet toelaatbaar zijn wanneer de inbreuk die het bekomen ervan mogelijk maakte (de schending van de persoonlijke levenssfeer van de werknemer)  de begane onregelmatigheid door de werknemer overstijgt, wanneer er aldus een disproportie bestaat tussen enerzijds het doel en de vastgestelde feiten, en anderzijds het middel dat de werkgever heeft aangewend om tot vaststellingen te komen.

Om dergelijke onzekerheden te vermijden, doet de werkgever er dus goed aan om de voorschriften van CAO nr. 81 - in de mate van het mogelijk - strikt na te leven.