Reglement email- en internetgebruik 2006

Het gebruik van email en internet heeft ook binnen de gemeente Den Haag een grote vlucht genomen.

Om ervoor te zorgen dat er rechtmatig gebruikgemaakt wordt van deze faciliteiten zijn door B en W in april 2003 gedragsregels en gebruiksregels vastgesteld, die door middel van controle worden gehandhaafd.

De basis voor deze regels was een door de VNG ontwikkeld voorbeeld-Privacyreglement email- en internetgebruik voor gemeenten. Dit voorbeeld-privacyreglement is in 2004 geactualiseerd. Het is qua opzet vereenvoudigd conform de raamregeling van het College bescherming persoonsgegevens (Cbp).

Tevens is het voorbeeld-Privacyreglement aangepast aan de actuele ontwikkelingen (bijvoorbeeld het gebruik van content-filtering) en relevante jurisprudentie.

Dit aangepaste reglement is ter beoordeling voorgelegd aan het Cbp. Na aanpassing aan de opmerkingen en aanbevelingen van het Cbp is de regeling in overeenstemming met het rapport van de Cbp “Goed werken in netwerken” bevonden.

Uit recent onderzoek na vijf jaar rechtspraak over email- en internetgebruik blijkt dat de aanwezigheid van een gedragscode zeer relevant is.

Gelet op het bovenstaande is het huidige Privacyreglement aangepast.

In verband met de leesbaarheid is er voor gekozen een geheel nieuw reglement vast te stellen.

Ook is gekozen voor een nieuwe naam: Reglement email- en internetgebruik.

De reden hiervoor is dat in dit Regelement primair gebruiks- en gedragsregels zijn neergelegd voor het gebruik van email en internet binnen de gemeente, die op iedere werknemer van de gemeente van toepassing zijn. Het spreken van een privacyreglement gaf verwarring.

Zoals in de vorige versie van het reglement ook is opgemerkt heeft het Cbp aangegeven, dat controle op email en internet op zich zelf niet verboden is. Op basis van zijn gezagsbevoegdheid is de werkgever bevoegd voorwaarden te stellen aan het gebruik of bepaalde soorten van gebruik te verbieden. Wel dient de werkgever de doeleinden te bepalen waarvoor hij controle noodzakelijk acht (doelbinding). De maatregelen dienen eveneens in redelijke verhouding te staan tot de belangen van de medewerker (proportionaliteit).

En ook geldt dat de gebruikte controlemiddelen niet meer inbreuk mogen maken op de belangen van de medewerker dan strict noodzakelijk is (subsidiariteit).

Deze – en tevens andere – eisen zijn opgenomen in de Wet bescherming persoonsgegevens (Wbp), die van toepassing is op het controleren van het gebruik van email en internet. Ook voor het aangepaste reglement hebben deze regels gediend als leidraad.

De Wbp is van toepassing als er sprake is van persoonsgegevens.

Gegevens met betrekking tot email- en internetgebruik van medewerkers zijn in het algemeen te kwalificeren als persoonsgegevens. IP-adressen zijn in combinatie met de username en het password te herleiden tot een bepaalde gebruiker. De daaraan verbonden bestanden zijn dus herleidbaar tot een medewerker.

De verkeersgegevens geven inzicht in afzender, de bestemming, de datum en de tijd van het bericht of van het internetgebruik.

Ook de inhoud van het emailbericht is een persoonsgegeven als de werkgever dit tot zijn beschikking heeft om bijvoorbeeld te controleren of een medewerker de regels van het Reglement wel nakomt.

De Wbp hanteert een ruime definitie van het begrip verwerking: het gehele proces van verzamelen tot aan het vernietigen van gegevens valt hieronder.

Het Reglement email- en internetgebruik 2006 is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van elektronische communicatiemiddelen in de ruimste zin des woords: alle email- en internetfaciliteiten.

Een nieuwe bepaling is aan het eerste lid van artikel 2 toegevoegd, waarin wordt bepaald dat het Reglement de wijze aangeeft waarop in de gemeente wordt omgegaan met elektronische communicatiemiddelen en regels ten aanzien van een verantwoord gebruik en omtrent de wijze van controle hiervan omvat.

Het Reglement geldt voor alle werknemers van de gemeente Den Haag: ambtenaren en personen die (betaald of niet-betaald) werkzaamheden voor de gemeente verrichten.

Het Reglement geldt dus niet voor bestuurders. De VNG is voornemens het Reglement zodanig aan te passen dat het ook op deze categorie van toepassing kan worden verklaard.

Het Reglement email- en internetgebruik 2006 betreft het gebruik van email en internet en bevat geen bepalingen met betrekking tot het gebruik van telefoon. In het kort hierover het volgende.

Het is niet zondermeer toegestaan telefoongesprekken van medewerkers op te nemen en te registreren.

Een medewerker heeft het recht om op de werkplek in beperkte mate gebruik te maken van de telefoon voor privécommunicatie. De gemeente behoort de privacy van die contacten te waarborgen. Controle op het telefoongebruik is slechts toegestaan als de gemeente een gerechtvaardigd belang heeft. De gemeente moet daarbij wel de belangen van de medewerkers meewegen.

Indien een medewerker of een groep van medewerkers wordt verdacht van onrechtmatig of oneigenlijk telefoongebruik, dan kan gedurende een vastgestelde, korte periode gerichte controle plaatsvinden op de zakelijke telefoongesprekken. Controle beperkt zich in principe tot de gegevens over het telecommunicatieverkeer. Dat zijn gegevens, die informatie geven over wie, wanneer en met wie iemand telefoneert. Alleen indien noodzakelijk mag er controle op de inhoud plaatsvinden. De gemeente moet de medewerker van te voren informeren over het registreren en opnemen van telefoongesprekken.

De bepalingen inzake controle (artikel 6 van dit reglement) kunnen dus van overeenkomstige toepassing worden verklaard op het gebruik van de vaste telefoon.

In een Regeling telefoongebruik wordt dit nader uitgewerkt.

Medewerkers kunnen in verband met de uitoefening van hun functie ook gebruikmaken van mobiele telefoons. Ook hiervoor kan een werkgever gedragsregels opstellen. Controle kan in dit geval echter niet plaatsvinden door een eigen personeelsvolgsysteem, maar alleen als het telecombedrijf een gespecificeerde nota aan de werkgever verstrekt.

Ook hierover worden in een Regeling telefoongebruik nadere regels gesteld.

Controle op email en internetgebruik is op zichzelf niet verboden. De werkgever is op basis van zijn gezagsbevoegdheid bevoegd om voorwaarden te stellen aan het gebruik van email- en internetfaciliteiten en/of bepaalde soorten gebruik te verbieden. De werkgever moet wel de doeleinden bepalen waarvoor hij controle noodzakelijk acht (doelbinding artikel 7 Wbp).

Deze doeleinden zijn in artikel 3 weergegeven, nl.:

• a.

  het verkrijgen van inzicht in de mate van gebruik van de elektronische communicatiemiddelen;

• b.

  het voorkomen van onrechtmatig gebruik dan wel oneigenlijk gebruik /misbruik van de elektronische communicatiemiddelen;

• c.

  het beveiligen van het systeem en het netwerk.

Dit laatste onderdeel c is nieuw toegevoegd.

Het is aan de werkgever om ervoor te zorgen, dat de nodige maatregelen worden getroffen, zodat persoonsgegevens juist en nauwkeurig zijn.

Op de werkgever wordt geen absolute verplichting gelegd. Een garantie voor de juistheid van de gegevens wordt medebepaald door de context waarin ze worden gebruikt. Met ‘nodige’ maatregelen wordt uitgedrukt dat alle maatregelen moeten worden getroffen die in redelijkheid kunnen worden gevergd. De redelijkheid stelt daarbij, afhankelijk van bijvoorbeeld de soort gegevens die onderwerp van verwerking zijn, de stand van de techniek en de kosten die met de maatregelen gepaard gaan, grenzen aan de te nemen maatregelen.

Met het beheer van de bestanden zijn een of meer daartoe aangewezen systeembeheerders belast. De systeembeheerder heeft uit hoofde van zijn functie toegang tot alle gegevens in het computernetwerk. Dit maakt de functie van systeembeheerder tot een functie, die met de nodige waarborgen moet worden omgeven.

De systeembeheerder moet zich ervan bewust zijn dat hij gegevens, die hij tijdens zijn werk tegenkomt, geheim dient te houden. Die verplichting lijdt uitzondering indien een wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit.

De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten als email of het meekijken met het internetgebruik van de medewerkers zonder dat daar een bijzondere aanleiding voor is.

De systeembeheerder dient tegenover het management een zekere onafhankelijkheid te hebben. Er dient dus een heldere procedure te bestaan wie in welke gevallen de systeembeheerder de opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen.

In het Reglement email- en internetgebruik 2006 zijn gedragsregels opgenomen over wat in de organisatie onder verantwoord email- en internetgebruik wordt verstaan.

Daarnaast zijn in het reglement regels opgenomen over wat niet is toegestaan bij een verantwoordelijk email- en internetgebruik. In vergelijking met het oude reglement, waarin een verbod van het verzenden van pornografische emails en het bezoeken van pornografische internetsites was opgenomen, is in het nieuwe reglement daaraan toegevoegd een verbod om met behulp van emailfaciliteiten aanstootgevende, dreigende, lasterlijke, seksueel intimiderende, onzedelijke, racistische of discriminerende opmerkingen te maken en internetsites te bezoeken, die racistisch materiaal bevatten of die naar algemeen maatschappelijke maatstaven als lasterlijk, beledigend, aanstootgevend, onzedelijk of oneervol worden beschouwd.

Daarnaast is bepaald dat de medewerker geen gebruik mag maken van de email- en internetfaciliteiten, waarvan betrokkenen redelijkerwijs weet of kon weten dat dit gebruik onrechtmatig danwel oneigenlijk is.

De werkgever is bevoegd regels te stellen omtrent de mate waarin privégebruik van email en internet is toegelaten. In de regeling wordt een beperkte vorm van privégebruik toegestaan evenals bij telefoneren gebruikelijk is.

Een algeheel verbod op privégebruik van elektronische communicatiemiddelen is niet mogelijk. Er is een duidelijke uitspraak gedaan over de huidige ‘privétisering’ van de werkplek. Dit houdt in dat een bepaalde mate van niet-zakelijke email en internetgebruik onder werktijd niet kan worden verboden (Kantonrechter Haarlem, 16 juni 2000, Jurisprudentie Arbeidsrecht 2000,170).

Dit artikel is sterk vereenvoudigd.

In vergelijking met het oude reglement is onder artikel 6 lid 1, onder c een nieuwe controle mogelijkheid opgenomen, nl. controle in het kader van het beveiligen van het systeem en het netwerk voor het tegengaan van virussen en andere schadelijke programma’s. Vanuit beveiligingsoogpunt is het wenselijk om email- en internetgebruik hierop te controleren.

De omvang van de controle moet zo beperkt mogelijk gehouden worden. Voor het verkrijgen van inzicht in de mate van gebruik van elektronische communicatiemiddelen zal de controle beperkt kunnen blijven tot de verkeersgegevens (datum, tijd, hoeveelheid en omvang).

Ook de controle ter voorkoming van onrechtmatig en oneigenlijk gebruik dan wel misbruik van de elketronische communicatiemiddelen moet zo beperkt mogelijk plaatsvinden. Controle zal in beginsel geanonimiseerd en steekproefsgewijs plaatsvinden. Alleen als een medewerker of een groep van medewerkers wordt verdacht van het overtreden van de regels kan gedurende een vastgestelde, korte periode gerichte controle plaatsvinden door middel van een gericht onderzoek.

In artikel 6 lid 4 wordt aangegeven, dat onrechtmatig en oneigenlijk gebruik dan wel misbruik van de elektronische communicatiemiddelen zoveel mogelijk softwarematig onmogelijk wordt gemaakt. De gemeente streeft ernaar door middel van ‘content-filtering’ (het scannen van berichten of bestanden op verboden woorden, extensies of beeldmateriaal) hieraan uitvoering gegeven.

Door deze wijze van controle wordt in mindere mate inbreuk gemaakt op de privacy en de communicatievrijheid van de gebruiker dan andere vormen van controle, zoals volledige inhoudscontrole of steekproefsgewijze inhoudscontrole.

In artikel 6 lid 6 wordt bepaald dat het gebruik van elektronische communicatiemiddelen door ( C) OR –leden in functie(evenals bedrijfsartsen en andere medewerkers met een vertrouwensfunctie) in beginsel van controle is uitgesloten. Een dergelijke regeling ontbrak ten onrechte in het oude reglement.

Deze regeling vindt zijn basis in artikel 17 van de Wet op de Ondernemingsraden (WOR), waarin staat dat OR-leden het recht hebben om onderling te overleggen met gebruik van voorzieningen waarover het OR-lid als zodanig kan beschikken. Volgens de wetsgeschiedenis van artikel 17 WOR is er geen gezagsrelatie tussen OR en werkgever en is controle dus niet mogelijk.

Dit betekent dat op email- en internetgebruik van, aan en tussen (C )OR-leden (en ook andere personen in een vertrouwensfunctie) in functie de algemeen wettelijke regels omtrent vertrouwelijke communicatie van toepassing zijn.

Iedere medewerker, die daarom verzoekt, wordt inzage gegeven in de hem betreffende persoonsgegevens, die worden verwerkt. Een verzoek om wijzigingen in de gegevens aan te brengen als deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift zijn, wordt verwerkt.

Een beslissing op een dergelijk verzoek is een beslissing in de zin van artikel 1:3 van de Algemene wet bestuursrecht: de normale bezwaar- en beroepsprocedures zijn van toepassing.

Medewerkers, die zich niet aan de regels van dit Reglement email- en internetgebruik 2006 houden, moeten zo spoedig mogelijk op hun gedrag worden aangesproken. Aan medewerkers in dienst bij de gemeente Den Haag kunnen op basis van de Arbeidsvoorwaardenregeling van de gemeente Den Haag disciplinaire straffen - waaronder strafontslag, zoals nu expliciet in het reglement wordt genoemd – worden opgelegd.

Tegen de oplegging van dergelijke straffen kan op basis van de Algemene wet bestuursrecht bezwaar en beroep worden aangetekend.

Het is belangrijk dat het Reglement email- en internetgebruik 2006 gecommuniceerd wordt naar alle medewerkers van de gemeente Den Haag.

Iedereen binnen de gemeentelijke organisatie moet weten wat is toegestaan of verboden, dat controle mogelijk is, op welke wijze controle plaatsvindt en wat de consequenties zijn van overtreding van de regels.

Naast verstrekking van dit reglement aan alle medewerkers, is het wellicht ook mogelijk dat deze regels tijdens het opstarten van het computersysteem of van het programma worden gepresenteerd op het beeldscherm van de medewerker. Op deze wijze wordt gegarandeerd dat de medewerker zich van de regels bewust is.

In artikel 11 lid 3 is de bepaling opgenomen, dat het Reglement email- en intrenetgebruik 2006 éénmaal in de drie jaar wordt geëvalueerd door B en W en de COR.

Regels verouderen omdat de organisatie, de omgeving en de technische mogelijkheden wijzigen.