Het monitoren van werknemers: hoe ver mag je gaan?

Het gebruik van internet en e-mail op de werkplek is aan de orde van de dag. Naast de evidente voordelen voor zowel werkgever als werknemer zoals (hogere) productiviteit en betere bereikbaarheid, zijn er ook nadelen. Internet en e-mail worden door werknemers immers niet alleen voor zakelijke doeleinden gebruikt. Denk aan het versturen van privé e-mails of het bezoeken van Facebook tijdens werktijd of het bijhouden van een persoonlijke blog waarin ook uitlatingen over een werkgever staan. Daarnaast kunnen er ook grotere risico’s voor de werkgever zijn, zoals de blootstelling aan cyberrisico’s door al dan niet opzettelijk onrechtmatig handelen door werknemers. Bij de werkgever kan daarom de wens ontstaan om de werknemers te monitoren. Maar mag dat wel?

Het recht op privacy zoals neergelegd in de Europese en nationale wetgeving strekt zich ook uit tot de werkplek. Het College Bescherming Persoonsgegevens (‘CBP’) hanteert vuistregels voor het gebruik van e-mail en internet op het werk en voor het uitoefenen van controle daarop. Deze vuistregels sluiten aan bij de wettelijke regels vanuit het privacyrecht en het arbeidsrecht en geven een leidraad aan bedrijven bij het ontwikkelen van eigen beleid.

Gedragscode voor werknemers

Als algemene vuistregel geldt onder meer dat de werkgever heldere en eenduidige regels moet opstellen (met instemming van de ondernemingsraad). De regels moeten duidelijk maken wat in de organisatie is verboden (en maak dit zoveel mogelijk softwarematig onmogelijk), wat is toegestaan en wat de sancties zijn op overtreding van de regels. De regels moeten bovendien helder worden gecommuniceerd naar de werknemers. De werknemers moeten weten wat toegestaan of verboden is, dat controle mogelijk is en op welke wijze en wat de consequenties zijn van bepaald handelen.

Regels voor de controle door werkgevers

Er gelden diverse specifieke vuistregels voor de controle:

  1. Probeer zakelijke en privé e-mail te scheiden en ontzie privé e-mail zoveel mogelijk bij eventuele controles (bijvoorbeeld door verschillende wachtwoorden).
  2. Beperk de controle tot het vooraf geformuleerde doel en voorzie in controlemechanismen die op de doeleinden zijn toegesneden. Een werkgever kan meerdere redenen hebben om e-mail of internetgebruik te controleren. Bijvoorbeeld: systeem- en netwerkbeveiliging, controle op bedrijfsgeheimen, kosten- en capaciteitsbeheersing, etc.
  3. Voer de controles op naleving van het beleid zo beperkt mogelijk uit. Maatwerk is daarom vereist.
  4. Beperk het loggen van verkeersgegevens (dit zijn de gegevens over de afzender, de bestemming, de datum en de tijd van het bericht). Ook mogen deze verkeersgegevens niet langer bewaard blijven dan noodzakelijk is voor de realisering van de vooraf geformuleerde doelen (maximaal zes maanden, tenzij er bijzondere redenen zijn). Indien verkeersgegevens langer dan zes maanden bewaard worden dan moet dit worden gemeld bij het CBP.
  5. Ontzie geprivilegieerde informatie in elektronische berichten (bijvoorbeeld communicatie met bedrijfsartsen of leden van de ondernemingsraad) tijdens een controle.

Sancties

Als een werknemer de regels overtreedt, kunnen er arbeidsrechtelijke sancties worden opgelegd, zoals een formele waarschuwing, schorsing, een beëindiging van de arbeidsovereenkomst of zelfs een ontslag op staande voet. Wat een passende sanctie is hangt af van de overtreding van de werknemer. De praktijk leert dat de rechter vooral kijkt naar de schade die de werknemer heeft aangericht en in hoeverre het invloed heeft op het werk.

Dit artikel is ook als blog verschenen op Blogit.nl op 31 december 2014.

Auteur(s)

  • Soo-ja SchijfSoo-ja Schijf