Elektronisch toezicht via internet en email

Dat de algemene regels voor privacy- en gegevensbescherming – denken we maar aan de Belgische Privacywet, de Europese Privacyrichtlijn en artikel 8 van het Europees Verdrag tot bescherming van de Rechten van de Mens – ook in deze context gelden, spreekt voor zich. Verder is het telecommunicatiegeheim van toepassing.

Wettelijke basis voor elektronisch toezicht

Als alle eerder genoemde regels in acht worden genomen, en zeker als ze strikt worden geïnterpreteerd, wordt het voor de werkgever behoorlijk lastig om op een wettige manier toegang te krijgen tot de elektronische communicatie van zijn werknemer. Met diens toestemming zou toegang volgens de telecommunicatiewetgeving wel mogelijk zijn, alleen is het maar de vraag of de werknemer, die zich noodzakelijkerwijs in een afhankelijke positie bevindt tegenover zijn werkgever, die wel vrijelijk kan geven. De Autoriteit stapt daarom af van werknemerstoestemming als wettelijke basis voor elektronisch toezicht door de werkgever.

Welke mogelijkheden heeft de werkgever dan wel om via elektronisch toezicht zijn belangen te vrijwaren zonder de privacyrechten van zijn werknemer met voeten te treden? Het wettelijke gezagsrecht van de werkgever biedt hier uitkomst. Door een arbeidscontract aan te gaan met een werkgever, verbindt een werknemer zich ertoe professionele activiteiten uit te voeren in naam en voor rekening van de werkgever. In deze gezagsrelatie beschikt de werkgever over een controlerecht, dat het voor hem mogelijk maakt om als hiërarchische meerdere kennis te nemen van e-mails die verzonden of ontvangen werden door zijn werknemers.

Basisbeginselen van de Privacywet

Ter bescherming van de privacy van werknemer moet de werkgever echter wel rekening houden met onderstaande basisbeginselen uit de Privacywet:

  • finaliteitsbeginsel: de werkgever moet een gerechtvaardigd doel voor ogen hebben, bijvoorbeeld professionele correspondentie opvolgen;
  • proportionaliteitsbeginsel: de werkgever moet het toezicht verder beperken tot het strikt noodzakelijke. Als een mail bestemd is voor de personeelsdienst, is het niet de bedoeling dat andere diensten hiervan kennis kunnen nemen;
  • transparantiebeginsel: de werknemer moet op de hoogte zijn van het eventuele elektronische toezicht en de manier waarop het uitgevoerd wordt. De Autoriteit beveelt aan deze informatie te verspreiden via het arbeidsreglement, maar ook een transparant ICT-beleid, een specifieke bepaling in de individuele arbeidsovereenkomst of een cao behoren tot de mogelijkheden.

Het arbeidsreglement: informatiebron bij uitstek

Het arbeidsreglement wordt door de Autoriteit naar voren geschoven als een waardevol instrument om de werknemer te informeren. Het is een klassiek onderdeel van het arbeidsrecht waarvoor overlegprocedures evenwicht garanderen. Zowel in de private als de openbare sector is het een goed gekend, "verplicht werkinstrument". Toepassing ervan kan worden afgedwongen onder toezicht van de arbeidsinspectie en de arbeidsrechtbanken. Duidelijke regels rond elektronisch toezicht op de werkvloer in het arbeidsreglement opnemen, met respect voor het sociaal overleg, strekt dan ook tot aanbeveling.

CAO nr. 81 als normtekst

Aangezien de concrete naleving van deze basisbeginselen voor privacybescherming in de praktijk erg uiteenlopend kan zijn, was er nood aan een normtekst die hierover duidelijkheid creëerde, zeker als er persoonlijke elektronische communicatiegegevens in het spel zijn. Die is er gekomen met cao nr. 81 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op elektronische onlinecommunicatiegegevens.

Hoewel deze cao in principe enkel van toepassing is op de private sector, is de Autoriteit van mening dat het document ook als referentiepunt kan worden beschouwd in de openbare sector: de tekst bevat immers vooral een concretisering van de na te leven principes van de Privacywet voor toezicht op persoonlijke elektronische communicatiegegevens, waardoor werkgevers in de openbare sector ook aan de bepalingen van de cao onderworpen zijn omdat zij in elk geval de Privacywet moeten eerbiedigen.

Cao nr. 81: relevante bepalingen over de doelstelling van elektronisch toezicht

Controle op persoonlijke elektronische onlinecommunicatiegegevens is maar toegestaan mits een of meer van de volgende doeleinden worden nagestreefd:

  • het voorkomen van ongeoorloofde of lasterlijke feiten, feiten die strijdig zijn met de goede zeden of de waardigheid van een andere persoon kunnen schaden;
  • de bescherming van de economische, handels- en financiële belangen van de onderneming die vertrouwelijk zijn alsook het tegengaan van ermee in strijd zijnde praktijken;
  • de veiligheid en/of de goede technische werking van de IT-netwerksystemen van de onderneming, met inbegrip van de controle op de kosten die ermee gepaard gaan alsook de fysieke bescherming van de installaties van de onderneming;
  • het te goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van onlinetechnologieën.

Wat is nu de concrete aanpak die cao nr. 81 voorstelt? Het gaat om een stapsgewijze controle, waarbij eerst globale telecommunicatiegegevens bekeken worden (bijvoorbeeld het aantal verstuurde/ontvangen berichten of de grootte van de berichten en bijlagen), en pas in een latere fase, bij detectie van anomalieën tijdens de globale controle, geïndividualiseerde gegevens in het vizier komen. Cao 81 laat in beginsel echter geen inhoudelijke controle toe als het om privéberichten van de werknemer gaat. Voor privémails is er dus een veel striktere toegangsregeling, wat ook logisch is omdat hieraan privacyrisico’s verbonden zijn die groter zijn dan bij louter professionele communicatie.