Privacyreglement e-mail en internetgebruik gemeente Vlissingen

Geldend van 01-01-2009 t/m heden

Intitulé

PRIVACYREGLEMENT E-MAIL EN INTERNETGEBRUIK VLISSINGEN 2009

Artikel 1 Definities

In dit privacyreglement wordt verstaan onder:

1.

WBP

Wet bescherming persoonsgegevens;

2.

gemeente

de gemeente Vlissingen;

3.

Cpb

College bescherming persoonsgegevens;

4.

medewerker

a.persoon in dienst van de gemeente;

b.persoon die betaalde of niet-betaalde werkzaamheden voor de gemeente verricht, anders dan in ambtelijk dienstverband;

5.

e-mailfaciliteiten

de door of namens de gemeente aan medewerkers ter beschikking gestelde e-mailfaciliteiten;

6.

internetfaciliteiten

de door of namens de gemeente aan medewerkers ter beschikking gestelde internetfaciliteiten;

7.

elektronische communicatiemiddelen

e-mail- en internetfaciliteiten;

8.

persoonsgegeven

elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van de WBP;

9.

verwerken van persoonsgegevens

elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

10.

verantwoordelijke

het college, zijnde het bestuursorgaan dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

11.

onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen

een doen of nalaten in strijd met dit privacyreglement of andere wet- en regelgeving of een inbreuk op een recht;

12.

college

het college van burgemeester en wethouders van Vlissingen.

Artikel 2 Reikwijdte

  • 1. Dit privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van elektronische communicatiemiddelen. Dit privacyreglement geeft de wijze aan waarop in de gemeente wordt omgegaan met elektronische communicatiemiddelen en omvat regels ten aanzien van verantwoord gebruik hiervan en regels over de wijze waarop controle hiervan plaatsvindt.

  • 2. Dit privacyreglement geldt voor elke medewerker.

Artikel 3 Doeleinden

De verwerking van persoonsgegevens inzake het gebruik van de elektronische communicatiemiddelen heeft de volgende doeleinden:

  • a.

    het verkrijgen van inzicht in de mate van gebruik van de elektronische communicatiemiddelen;

  • b.

    het voorkomen van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen;

  • c.

    het beveiligen van het systeem en het netwerk;

  • d.

    de begeleiding en individuele beoordeling van medewerkers;

  • e.

    bewijs en archivering;

  • f.

    bescherming van onder geheimhouding vallende of niet-openbare informatie.

Artikel 4 Verantwoordelijkheden en beheer

  • 1. De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn.

  • 2. De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

  • 3. De verantwoordelijke wijst één of meerdere systeembeheerders aan die belast zijn met het beheer van de bestanden. Deze systeembeheerders zijn, op grond van artikel 125a, derde lid, Ambtenarenwet, verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.

Artikel 5 Gebruik elektronische communicatiemiddelen

  • 1. Medewerkers gebruiken de elektronische communicatiemiddelen voor het uitvoeren van de aan hen door de gemeente opgedragen taken.

  • 2. Incidenteel privé-gebruik van de elektronische communicatiemiddelen door medewerkers is toegestaan, mits dit gebruik in overeenstemming is met dit privacyreglement en dit gebruik in geen geval storend is voor dan wel ten koste gaat van het uitvoeren van de aan medewerkers door de gemeente opgedragen taken.

  • 3. Het is medewerkers niet toegestaan met behulp van de e-mailfaciliteiten kettingbrieven te versturen of pornografisch materiaal te versturen of op te vragen, dan wel aanstootgevende, dreigende, lasterlijke, seksueel intimiderende, onzedelijke, racistische of discriminerende opmerkingen te maken. Evenmin is het medewerkers toegestaan met behulp van de e-mailfaciliteiten illegale software te verzenden of op te vragen dan wel bestanden zonder voorafgaand overleg met de systeembeheerder(s) te verzenden of op te vragen waarvan medewerker redelijkerwijs moet aannemen dat deze te omvangrijk zijn.

  • 4. Het is medewerkers niet toegestaan met behulp van de internetfaciliteiten bewust internetsites te bezoeken die pornografisch, dan wel racistisch materiaal bevatten of die naar algemeen maatschappelijke maatstaven als lasterlijk, beledigend, aanstootgevend, onzedelijk of oneervol worden beschouwd, mee te doen in chat-sessies, on line te gokken, illegale software te downloaden dan wel zonder voorafgaand overleg met de systeembeheerder(s) bestanden te downloaden waarvan medewerker redelijkerwijs moet aannemen dat deze te omvangrijk zijn.

  • 5. Zonder voorafgaande toestemming van de systeembeheerder(s) is het medewerkers niet toegestaan met behulp van de e-mailfaciliteiten een elektronisch bericht aan alle of vrijwel alle medewerkers van de gemeente tegelijkertijd te versturen.

  • 6. Indien medewerkers met gebruik van de internetfaciliteiten handelingen verrichten die als e-mailtoepassingen zijn te kwalificeren, dan zijn de bepalingen van artikel 5, derde en vijfde lid, van overeenkomstige toepassing.

  • 7. Medewerkers betrachten bij het gebruik van de elektronische communicatiemiddelen de nodige zorgvuldigheid en zij waarborgen de integriteit en goede naam van de gemeente.

Artikel 6 Controle

  • 1. Controle door verantwoordelijke op het gebruik van de elektronische communicatiemiddelen vindt slechts plaats voor de in artikel 3 genoemde doeleinden. Deze doeleinden stellen beperkingen aan de omvang en wijze van controle.

    • a.

      Controle ter verkrijging van inzicht in de mate van gebruik van de elektronische communicatiemiddelen wordt beperkt tot de verkeersgegevens (tijd, hoeveelheid, omvang).

    • b.

      Controle ter voorkoming van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen wordt zo beperkt mogelijk gehouden, in die zin dat deze in redelijke verhouding staat tot het doel waarvoor deze wordt aangewend. Bovendien vindt de controle in beginsel geanonimiseerd en slechts steekproefsgewijs plaats.

    • c.

      Controle in het kader van het beveiligen van het systeem en het netwerk voor het tegengaan van virussen en andere schadelijke programma’s vindt op geautomatiseerde wijze plaats.

  • 2. Controle vindt plaats op het niveau van getotaliseerde gegevens die niet herleidbaar zijn tot individuele personen. Indien een medewerker of een groep medewerkers wordt verdacht van het overtreden van regels, kan gedurende een vastgestelde (korte) periode gerichte controle plaatsvinden.

  • 3. Controle beperkt zich tot verkeersgegevens van het gebruik van de elektronische communicatiemiddelen. Alleen bij zwaarwegende redenen vindt controle op de inhoud plaats.

  • 4. Onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen wordt zo veel mogelijk softwarematig onmogelijk gemaakt.

  • 5. Indien geconstateerd wordt dat een medewerker dit privacyreglement overtreedt, wordt hij daarop zo spoedig mogelijk ter verantwoording geroepen door de verantwoordelijke.

  • 6. Het gebruik van de elektronische communicatiemiddelen door leden van de ondernemingsraad, leden van het georganiseerd overleg in ambtenarenzaken, bedrijfsartsen en andere medewerkers met een vertrouwensfunctie zijn in beginsel uitgesloten van controle als bedoeld in het eerste lid, aanhef en onder a en b.

Artikel 7 Bewaring en verwijdering

  • 1. Persoonsgegevens, gerelateerd aan de elektronische communicatiemiddelen, worden maximaal zes maanden bewaard ten behoeve van de verantwoordelijke zijn beëindigd.

  • 2. Gegevens die ouder zijn dan zes maanden worden automatisch verwijderd, tenzij er bijzondere redenen zijn, bijvoorbeeld een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen, om de gegevens langer te bewaren. Dat moet dan expliciet kunnen worden gemaakt en worden gemeld aan het Cbp.

  • 3. Indien de systeembeheerder om technische redenen persoonsgegevens, gerelateerd aan de elektronische communicatiemiddelen, niet kan verwijderen, wordt onder verwijderen verstaan het niet meer verstrekken van deze gegevens voor de in artikel 3 geformuleerde doeleinden en indien mogelijk afdoende afschermen.

Artikel 8 Rechten van de medewerker

  • 1. Aan de medewerker die daarom aan verantwoordelijke verzoekt wordt een overzicht verschaft van de hem betreffende persoonsgegevens die worden verwerkt.

  • 2. De medewerker kan de verantwoordelijke verzoeken zijn persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.

  • 3. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het in het tweede lid genoemde verzoek schriftelijk of, dan wel in hoeverre, hij daaraan voldoet. Een weigering is met redenen omkleed. Een beslissing op een verzoek geldt als een besluit in de zin van artikel 1:3 Algemene wet bestuursrecht.

  • 4. De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.

Artikel 9 Sancties

  • 1. Overtreding van dit privacyreglement kan voor werknemers in dienst van de gemeente resulteren in disciplinaire maatregelen of ontslag als disciplinaire straf als bedoeld in de Collectieve arbeidsvoorwaardenregeling voor de sector gemeenten (CAR) en de Uitwerkingsovereenkomst (UWO).

  • 2. Overtreding van dit privacyreglement kan voor personen die betaalde of niet-betaalde werkzaamheden voor de gemeente verrichten, anders dan in ambtelijk dienstverband, resulteren in maatregelen waardoor deze personen, al dan niet tijdelijk, geen beschikking meer hebben over (een deel van) de elektronische communicatiemiddelen.

Artikel 10 Onvoorziene omstandigheden en hardheidsclausule

  • 1. In gevallen waarin dit privacyreglement niet voorziet of bij twijfel omtrent de toepassing van dit privacyreglement, beslist de verantwoordelijke.

  • 2. De verantwoordelijke kan artikel 9 buiten toepassing laten of daarvan afwijken, voor zover toepassing, gelet op het belang van de doelstelling van dit reglement, leidt tot onbillijkheid van overwegende aard.

Artikel 11 Slotbepalingen

  • 1.

    Dit reglement wordt aangehaald als “Privacyreglement e-mail en internetgebruik gemeente Vlissingen”

  • 2.

    De verantwoordelijke stelt dit privacyreglement vooraf ter beschikking aan alle medewerkers die, direct of indirect, de beschikking krijgen over elektronische communicatiemiddelen.

  • 3.

    Dit privacyreglement treedt in werking op 1 januari 2009.

  • 4.

    De verantwoordelijke en de ondernemingsraad evalueren dit privacyreglement tweejaarlijks en wel voor de eerste keer per 1 januari 2011.

Aldus vastgesteld op 22 juli 2008.

Burgemeester en wethouders van Vlissingen,

de secretaris, de burgemeester,

mr. C.M.de Graaf, l.s. drs. W.J.A. Dijkstra

Algemene toelichting

Binnen de gemeente Vlissingen wordt veel gebruikgemaakt van e-mail en internet. Om het gebruik van e-mail en internet in goede banen te leiden, kunnen gedragscodes en gebruiksregels worden opgesteld die door middel van controle worden gehandhaafd. Uit recent onderzoek naar vijf jaar rechtspraak over e-mail- of internetmisbruik blijkt dat de aanwezigheid van een gedragscode zeer relevant is. Het is voor de gemeente dan ook zaak daarover een duidelijk beleid te voeren. Elektronische controle van computergebruik raakt echter het terrein van de bescherming van de persoonlijke levenssfeer van de medewerker. Op het controleren van het gebruik van e-mail en internet op de werkplek is daarom de Wet bescherming persoonsgegevens (WBP) van toepassing die op 1 september 2001 in werking is getreden. Het controleren van e-mail- en internetgebruik is een zogenaamd personeelvolgsysteem. Voor de invoering van een personeelvolgsysteem en een privacyreglement is op grond van artikel 27, eerste lid, onder k en l, van de Wet op de ondernemingsraden, de instemming van de ondernemingsraad (OR) vereist. Dit geldt ook voor een eventuele latere wijziging of bij intrekking van het reglement. Na instemming van de OR kan het reglement op de voor gemeenten gebruikelijke wijze worden vastgesteld en ingevoerd. Een verantwoordelijke is verplicht om de verwerking van persoonsgegevens te melden bij het College bescherming persoonsgegevens (Cbp) voordat hij begint met de verwerking. In het zogenaamde Vrijstellingsbesluit staan eisen geformuleerd waaraan de verwerkingen moeten voldoen, wil de vrijstelling van de meldingsverplichting daadwerkelijk gelden. Op basis van het Vrijstellingsbesluit valt controle op het gebruik van e-mail en internet onder de vrijstelling mits voldaan wordt aan de vereisten van het Vrijstellingsbesluit.

Deze vereisten houden in dat geen andere persoonsgegevens worden verwerkt dan:

  • 1.

    gegevens ten behoeve van identificatie van en communicatie (username en toegangscode) met de gebruikers binnen het netwerk;

  • 2.

    gegevens met betrekking tot bevoegdheden van de gebruikers en de netwerkbeheerders met het oog op de aangeboden faciliteiten en diensten van het netwerk;

  • 3.

    gegevens met betrekking tot de verrichtingen van de gebruikers en netwerkbeheerders en

  • 4.

    gegevens met betrekking tot elektronische berichten van of voor de gebruikers.

Daarnaast geldt dat de persoonsgegevens slechts worden verstrekt aan degenen die belast zijn met de interne controle en beveiliging (de doeleinden van de verwerking), met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen. Bovendien dienen de persoonsgegevens uiterlijk zes maanden nadat ze zijn verkregen te worden verwijderd. Ten slotte geldt dat de OR aan de controle instemming heeft verleend. Het privacyreglement is qua opzet conform de Raamregeling van het Cbp. Tevens is het aangepast aan de actuele ontwikkelingen en relevante jurisprudentie. Het Cbp heeft aangegeven dat naar zijn oordeel het privacyreglement in overeenstemming is met het rapport Goed werken in netwerken van het Cbp en de daarin opgenomen vuistregels voor controle op het gebruik van e-mail en internet van werknemers en daarom niet strijdig is met de huidige privacywetgeving.

Artikelgewijze toelichting

Artikel 1 Definities

De begrippen zoals die in het privacyreglement voorkomen worden hier gedefinieerd. Voor de omschrijving van begrippen is waar mogelijk aangesloten bij de bewoording die wordt gebruikt in de WBP. De WBP is van toepassing als er sprake is van verwerking van persoonsgegevens. Gegevens met betrekking tot het e-mail- en internetgebruik van medewerkers zijn in het algemeen te kwalificeren als persoonsgegevens. IP-adressen zijn in combinatie met de username en het password te herleiden tot een bepaalde gebruiker. De daaraan verbonden bestanden zijn aldus herleidbaar tot een medewerker. De verkeersgegevens geven inzicht in de afzender, de bestemming, de datum en de tijd van het bericht of van het internetgebruik. Ook de inhoud van het e-mailbericht is een persoonsgegeven als de werkgever dit tot zijn beschikking heeft om bijvoorbeeld te controleren of een medewerker de regels in het privacyreglement nakomt. De WBP hanteert een ruime definitie voor het begrip ‘verwerking’: het gehele proces van verzamelen tot aan vernietigen van gegevens.

Artikel 2 Reikwijdte

Het privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van e-mail en internetfaciliteiten. Het privacyreglement geldt voor alle medewerkers van de gemeente: ambtenaren en personen die (betaald of niet-betaald) werkzaamheden voor de gemeente verrichten, anders dan in ambtelijk dienstverband. Het privacyreglement is (in deze vorm) niet van toepassing op politieke ambtsdragers.

Telewerken

Indien de werknemer vanuit zijn eigen huis inlogt op het computersysteem van het werk (telewerken), dan vormt de controle door de werkgever op het gebruik door de werknemer van de elektronische communicatiemiddelen een extra probleem. Voor zover de werknemer uitsluitend ten behoeve van het werk inlogt, zijn de regels in dit privacyreglement van overeenkomstige toepassing. De computer van de werknemer thuis maakt dan immers logisch gezien deel uit van het computernetwerk van de werkgever en de werknemer bevindt zich in een situatie waarin ook de gezagsbevoegdheid van de werkgever geldt. Dit ligt anders als de werknemer het bedrijfsaccount voor privé-doeleinden kan en mag gebruiken (om privé-e-mail te versturen of in zijn eigen tijd internetsites te bezoeken). Voor het vastleggen van gegevens van hetgeen de werknemer privé doet, is geen grond. Indien ook zijn gezinsleden van de faciliteiten gebruik mogen maken, geldt dit helemaal. De werkgever heeft met hen immers geen arbeidsrelatie waarin hij zijn gezag kan uitoefenen. Zijn positie is in deze situatie vergelijkbaar met een Internet Service Provider. De werkgever dient hiermee rekening te houden bij het opzetten en de uitvoering van het telewerkbeleid.

Artikel 3 Doeleinden

De WBP bepaalt dat gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze moeten worden verwerkt (artikel 6 WBP). Dit voorschrift geldt in zoverre als de privacyrechtelijke evenknie van de arbeidsrechtelijke norm van goed werkgeverschap. Persoonsgegevens mogen voorts slechts voor welbepaalde, duidelijk omschreven en gerechtvaardigde doeleinden worden verwerkt (artikel 7 WBP). Deze doelomschrijving moet nauwkeurig en zo volledig mogelijk zijn (zie ook artikel 4, eerste lid privacyreglement). In overleg moet worden vastgesteld welke doeleinden voor controle van e-mail- en internetgebruik noodzakelijk zijn voor de eigen organisatie. Controle via volgsystemen is dus alleen toegestaan indien het doel van de controle vooraf is bepaald.

Als grondslag van de controle wordt gerechtvaardigd belang van de organisatie aangewezen (artikel 8, onder sub f WBP). De privacybelangen van de medewerkers worden hierbij meegewogen. De aard, omvang en vorm van de controlemaatregelen dienen in een redelijke verhouding tot het doel van de controle te staan (proportionaliteit), (zie ook artikel 6, eerste lid, onder sub b en de toelichting). Tevens geldt dat de gebruikte controlemiddelen niet meer inbreuk mogen maken op de belangen van de medewerker dan strikt noodzakelijk is (subsidiariteit). In het privacyreglement zijn drie doeleinden geformuleerd. Controle van e-mail en controle op het internetgebruik is niet verboden. De werkgever is bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik van e-mail- en internetfaciliteiten of bepaalde soorten gebruik te verbieden. De werkgever heeft de doeleinden bepaald waarvoor hij controle noodzakelijk acht (doelbinding).

Wanneer de verwerking van persoonsgegevens inzake het gebruik van de elektronische communicatiemiddelen plaatsvindt met het oog op de begeleiding en individuele beoordeling van medewerkers zal dat vooraf worden afgesproken met en bekend worden gemaakt aan de betreffende medewerker.

Artikel 4 Verantwoordelijkheden en beheer

Artikel 4, eerste lid

Op de werkgever wordt geen absolute verplichting gelegd. Een garantie voor de juistheid van gegevens kan van de werkgever niet worden gevergd. De juistheid van de gegevens wordt mede bepaald door de context waarin ze worden gebruikt. Met ‘nodige’ maatregelen wordt uitgedrukt dat alle maatregelen moeten worden getroffen die in redelijkheid kunnen worden gevergd. De redelijkheid stelt daarbij, afhankelijk van bijvoorbeeld de soort gegevens die onderwerp van verwerking zijn, de stand van de techniek en de kosten die met de maatregelen gepaard gaan, grenzen aan de te nemen maatregelen.

Artikel 4, tweede lid

Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Artikel 4, derde lidEen of meer systeembeheerders zijn met het beheer van de bestanden belast. De systeembeheerder heeft uit hoofde van zijn functie toegang tot alle gegevens in het computernetwerk. De functie van systeembeheerder dient met de nodige waarborgen te worden omgeven. De systeembeheerder moet zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, geheim dient te houden. Die verplichting lijdt uitzondering indien enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit. De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten of e-mail of het meekijken met het internetgebruik van de medewerkers zonder dat daar een bijzondere aanleiding voor is. De systeembeheerder dient tegenover het management een zekere onafhankelijkheid te hebben. Er moet dus een heldere procedure te bestaan over wie in welke gevallen de systeembeheerder opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen. Back-ups In het kader van zorgvuldigheid worden regelmatig back-ups van de systemen gemaakt die in geval van calamiteiten eenvoudig kunnen worden teruggezet. Dit betekent dat van logbestanden en andere gegevens over het e-mail- en internetgedrag van medewerkers een back-up wordt gemaakt. De werkgever moet zich ervan bewust zijn dat onzorgvuldig of onbevoegd gebruik van deze back-ups even schadelijk kan zijn voor de persoonlijke levenssfeer van de medewerker als onzorgvuldig of onbevoegd gebruik van het actuele systeem. Back-ups worden daarom op een veilige plaats bewaard. Nadat gegevens zijn aangepast moet zo snel mogelijk een nieuwe back-up gemaakt worden en moeten oude versies worden vernietigd, zodat de gegevens niet na een eventuele terugplaatsing van een back-up nogmaals moeten worden aangepast.

Artikel 5 Gebruik elektronische communicatiemiddelen

In het privacyreglement worden gedragsregels opgenomen over wat er in de organisatie onder verantwoord e-mail- en internetgebruik wordt verstaan:

  • ·

    Medewerkers zijn verantwoordelijk voor een zorgvuldige afhandeling van elektronische berichten.

  • ·

    Medewerkers moeten minimaal twee keer per dag hun postbus met elektronische berichten controleren.

  • ·

    Medewerkers dienen bij afwezigheid in GroupWise een afwezigheidbericht te activeren. In geval van ziekte of langdurige afwezigheid wordt aan de systeembeheerder opdracht gegeven het afwezigheidbericht te activeren.

  • ·

    Het doen van financiële transacties zoals aankopen of bestellingen op ‘internetwinkelsites’ is verboden.

  • ·

    Het verzenden of opvragen dan wel downloaden van videobanden, audiobestanden of filmbanden zonder voorafgaand overleg met de systeembeheerder(s) is verboden.

  • ·

    Streaming van audio- of videobestanden zonder voorafgaand overleg met de systeembeheerder(s) is verboden. (N.B. streaming is een techniek, waarbij een audio- of videobestand via een netwerk beluisterd of bekeken kan worden, terwijl het bestand wordt geladen. Bij streaming worden de data van het bestand in gecomprimeerde vorm als een continue stroom verstuurd en afgespeeld).

  • ·

    Het installeren van programmatuur is verboden.

Een totaal verbod van privé-gebruik van de elektronische communicatiemiddelen is niet mogelijk. Er is een duidelijke uitspraak gedaan over de huidige ‘privétisering’ van de werkplek. Dat houdt in dat een bepaalde mate van niet-zakelijk e-mail- en internetgebruik onder werktijd niet kan worden verboden. (Kantonrechter Haarlem, 16 juni 2000, Jurisprudentie Arbeidsrecht 2000, 170). De werkgever kan wel beperkende voorwaarden opstellen aan het persoonlijk gebruik van de elektronische communicatiemiddelen.

Artikel 5, derde lid

Het is medewerkers niet toegestaan met behulp van de e-mailfaciliteiten illegale software te verzenden of op te vragen dan wel bestanden zonder voorafgaand overleg met de systeembeheerder(s) te verzenden of op te vragen waarvan medewerker redelijkerwijs moet aannemen dat deze te omvangrijk zijn. Onder het laatste moet een zodanig omvang worden verstaan dat de postbus van de medewerker als gevolg daarvan de grens van de maximale capaciteit bereikt of overschrijdt.

Artikel 6 Controle

Artikel 6, eerste lid, onder sub a

De bepalingen over ‘vastlegging’ en ‘persoonsgegevens’ zijn - voor zover noodzakelijk - opgenomen in artikel 6. In de toelichting bij artikel 6 is opgenomen aan wie binnen de organisatie overzichten worden verstrekt in verband met de diverse doeleinden van de gegevensverwerking. In verband met het doeleinde in artikel 3, onder a, worden vastgelegde gegevens (na bewerking) verstrekt aan de coördinator I&A voor het verkrijgen van inzicht in de mate van gebruik van de elektronische communicatiemiddelen. Voor het verkrijgen van inzicht in de mate van gebruik van de elektronische communicatiemiddelen zal in het kader van kosten- en capaciteitsbeheersing de controle beperkt kunnen blijven tot verkeersgegevens. Kennisneming van de inhoud is dan niet noodzakelijk. Het is echter ook mogelijk dat de verantwoordelijke inzicht wil hebben in de meest bezochte internetsites, bijvoorbeeld in de vorm van een top tien. Daarvoor zal wel kennis moeten worden genomen van inhoudelijke gegevens. Indien uit een evaluatie van de regeling blijkt dat dit wenselijk is zal het eerste lid, onder sub a, worden aangepast.

Artikel 6, eerste lid, onder sub b

De genomen maatregelen dienen in redelijke verhouding te staan tot de belangen van de medewerker en de gebruikte middelen mogen niet een verdergaande inbreuk maken op die belangen dan strikt noodzakelijk is (proportionaliteit en subsidiariteit). Steeds zal hiertoe een belangenafweging moeten plaatsvinden. Het doel rechtvaardigt dus niet een continue controle en de daarmee gepaard gaande verregaande inbreuk op de persoonlijke levenssfeer van de werknemer. Controle op naleving zal daarom steekproefsgewijs geschieden. Indien de verantwoordelijke gebruik gaat maken van content filtering, zal dit expliciet in het privacyreglement of in de toelichting worden opgenomen.

Artikel 6, eerste lid, onder sub c

Vanuit beveiligingsoogpunt is het noodzakelijk om e-mail- en internetgebruik te controleren. Het kan dan gaan om het tegengaan van systeemaanvallen door virussen, trojans of andere schadelijke programma’s. Dat gebeurt door middel van een geheel geautomatiseerde controle van de inkomende berichten (inclusief bijlagen). Indien een besmet bericht gevonden wordt, wordt dit op een aparte locatie bewaard voor nader onderzoek en eventuele herstelwerkzaamheden. Uiteraard wordt hierbij geen onderscheid gemaakt in zakelijke en privé-mail. Ook vindt een geautomatiseerde controle van de inkomende internetcontent plaats. Indien het voor de inhoud van de functie van de medewerkers niet noodzakelijk is dat zij steeds toegang hebben tot internet, kan dit doel eenvoudig bereikt worden door de toegang aan te bieden op aparte computers die niet aan het interne netwerk zijn verbonden.

Artikel 6, eerste lid, onder sub d

De controle bij de doeleinden wordt als volgt beschreven.

begeleiding en/of individuele beoordelingen: in het kader van begeleiding en/of individuele beoordelingen vindt er steekproefsgewijs controle plaats van zakelijke e-mailberichten zoals overeengekomen met de individuele medewerker;

bewijs en archivering: conform de regels draagt de verantwoordelijke zorg voor het maken van een kopie van de zakelijke e-mailberichten met als doel bewijs en/of archivering;

bescherming van onder geheimhouding vallende of niet-openbare informatie: controle op het openbaar maken c.q. laten uitlekken van deze informatie vindt steekproefsgewijs plaats. Een verdacht bericht wordt apart gezet voor nader onderzoek. Onderscheid tussen privé- en zakelijk e-mail is niet van belang.

Artikel 6, tweede lid

Het is in het algemeen niet noodzakelijk om aan de verantwoordelijke rapportages en gebruiksstatistieken van het e-mail- en internetgebruik van de medewerkers op persoonsniveau te verstrekken. De gegevens in de rapportages en statistieken zullen dus meestal ontdaan kunnen worden van hun identificerende kenmerken. Alleen als er concrete verdenkingen bestaan tegen een bepaalde medewerker, is rapportage op persoonsniveau noodzakelijk en dan ook toegestaan. Individueel volgen van een medewerker wordt na afloop aan de medewerker gemeld met vermelding van de redenen daartoe en de resultaten van het volgen.

Artikel 6, derde lid

De controle van de elektronische communicatiemiddelen is beperkt tot de verkeersgegevens. Dit zijn gegevens met betrekking tot datum, tijd, hoeveelheid en omvang. Slechts bij zwaarwegende redenen wordt inhoudelijk gecontroleerd. Individueel volgen van een medewerker wordt na afloop aan de medewerker gemeld met vermelding van de redenen daartoe en de resultaten van het volgen.

Artikel 6, vierde lid

Onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen kan worden ingebouwd in de software die wordt gebruikt om te e-mailen of te internetten. Wanneer daartoe wordt overgegaan kan dat door content filtering (scannen van berichten of bestanden op verboden woorden, extensies, beeldmateriaal), door het afsluiten van websites of nieuwsgroepen, het stoppen van de doorgifte, etc. Overtreding van het privacyreglement wordt dan feitelijk vrijwel onmogelijk gemaakt en er is geen grond meer voor actieve controle en logging op het gebruik van de elektronische communicatiemiddelen. Ook is het mogelijk om toepassingen volledig af te sluiten door de daarvoor benodigde software zelf niet aan te bieden.

Artikel 6, vijfde lid

Een bepaalde tijd voor opbouw van het dossier is toegestaan, indien de omstandigheden daartoe aanleiding geven. Een medewerker die in strijd handelt met het privacyreglement wordt eerst schriftelijk door de verantwoordelijke gewaarschuwd. Continuering van dit gedrag heeft rechtspositionele gevolgen. Dit gedrag wordt beschouwd als plichtsverzuim.

Artikel 6, zesde lid

Deze bepaling betreft de communicatie per e-mail van leden van de OR ten behoeve van hun OR-werkzaamheden. Op grond van artikel 17 Wet Ondernemingsraden (WOR) hebben zij het recht om onderling te overleggen met gebruik van voorzieningen waarover het OR-lid als zodanig kan beschikken. De wetsgeschiedenis van artikel 17 WOR maakt helder dat tussen de OR en de werkgever geen gezagsrelatie bestaat. De werkgever kan zijn gezagsbevoegdheid dus niet aanwenden om het e-mailgebruik van OR-leden in functie te controleren. Dit betekent dat op e-mail van, aan en tussen OR-leden in functie de algemene wettelijke regels omtrent vertrouwelijke communicatie van toepassing zijn. In het LOGA d.d. 23 december 2004 is geconcludeerd dat GO-leden (GO: Georganiseerd Overleg) zich in een soortgelijke positie bevinden. Om die reden is besloten de gedragslijn voor OR-leden ook te hanteren voor GO-leden. Daarmee is dit soort e-mail geprivilegieerd en mag de werkgever er in beginsel geen kennis van nemen. Het betreft hier echter geen absoluut verbod. Er kan van worden afgeweken in bepaalde situaties van plichtsverzuim, zoals geregeld in artikel 16:1:1, tweede lid van de Uitwerkingsovereenkomst (UWO), waarbij men bijvoorbeeld kan denken aan het lekken van geheime c.q. vertrouwelijke stukken. Daarnaast ziet deze bepaling ook toe op het gebruik van internet. Het Cbp heeft de VNG in een brief d.d. 22 september 2004 laten weten dat artikel 6, zesde lid niet alleen geldt voor het gebruik van e-mailfaciliteiten, maar ook voor internetgebruik. Dit standpunt van het Cbp heeft de VNG in haar privacyreglement verwerkt, maar is nog niet opgenomen in de ‘Raamregeling voor het gebruik van e-mail en internet’ van het Cbp.

Jurisprudentie

·Privacy en het opnemen van telefoongesprekken. De Centrale Raad van Beroep is onlangs ingegaan op de privacy van telefoongesprekken die zijn gevoerd vanaf de werkplek. Het betrof een medewerker van een telefooncentrale tegen wie een disciplinair onderzoek was opgestart over de gesprekken die hij vanuit de centrale had gevoerd met medewerkers in de surveillancedienst. De surveillancemedewerkers hebben moedwillig het rayon verlaten en het onderzoek was er onder andere op gericht na te gaan of de centralist hen hierin had aangemoedigd. Ook waren er badinerende opmerkingen gemaakt over collega’s en discriminerende opmerkingen over allochtonen. De werkgever wilde de rol van betrokkene hierin vaststellen. De Centrale Raad wijst erop dat de geluidsopnamen van de betreffende gesprekken zijn aan te merken als persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp). Het bevoegd gezag mocht voor het disciplinair onderzoek gebruik maken van deze opnamen. De centralisten waren er immers mee bekend dat alle door hen vanaf de meldkamer gevoerde gesprekken werden opgenomen en dat deze konden worden uitgeluisterd onder meer om bij vragen of klachten te kunnen nagaan of zij juist hebben gehandeld. In dit geval was sprake van een serieus vermoeden van ernstig plichtsverzuim, hetgeen kwalificeert als een “niet onverenigbaar gebruik” als bedoeld in artikel 9 van de Wbp. Uitluisteren van de opnamen was noodzakelijk om de omvang en de ernst van het plichtsverzuim en het aandeel van ieder van de centralisten daarin vast te stellen. Bovendien was het uitluisteren in dit geval beperkt tot de uren waarin de uitstapjes buiten het rayon hadden plaatsgevonden. Tenslotte overweegt de Centrale Raad dat het beluisteren van de opnamen niet alleen belastend materiaal voor de in deze zaak betrokken centralist heeft opgeleverd, maar tevens op onderdelen ontlastend. CRvB 15 januari 2009, www.rechtspraak.nl : LJN: BH1794

Artikel 7 Bewaring en verwijdering

Artikel 7, eerste lid

Het is in het algemeen niet nodig om de persoonsgegevens lang te bewaren. De standaardtermijn is daarom zes maanden. In het geval van een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van elektronische communicatiemiddelen, worden de gegevens uit die zes maanden bewaard, zolang dit in het kader van nader onderzoek en eventueel te treffen maatregelen jegens een medewerker noodzakelijk is. Zodra een nader onderzoek is afgerond en dit niet leidt tot maatregelen jegens een medewerker worden de gegevens verwijderd.

In relatie tot de termijn gedurende welke persoonsgegevens mogen worden bewaard, kan het volgende worden opgemerkt. De termijn gedurende welke de in archiefbescheiden opgenomen persoonsgegevens mogen worden bewaard, is in beginsel onbepaald. Deze onbepaalde termijn houdt direct verband met het doeleinde waarvoor de gegevens worden bewaard: behoud van (een deel van) het Nederlandse culturele erfgoed.

Artikel 7, tweede lid

Bepaalde gegevens kunnen soms om technische redenen niet worden verwijderd. Van het e-mailsysteem worden bijvoorbeeld back-ups gemaakt die in geval van nood teruggezet kunnen worden. Deze back-ups kunnen niet zonder meer gewist worden. Het is ook niet mogelijk om binnen een dergelijke back-up een individueel e-mailbericht te verwijderen. De bedoelde gegevens mogen in deze gevallen niet meer worden verstrekt (verwerkt).

Artikel 8 Rechten van de medewerker

In artikel 8 worden de rechten van de medewerkers bij het verwerken van persoonsgegevens behandeld. Transparantie is een belangrijk beginsel voor privacybescherming. De informatieplicht is gebaseerd op de artikelen 33 en 34 WBP.

Artikel 9 Sancties

De toevoeging is voor alle zekerheid opgenomen, zie ook uitspraak d.d. 8 juni 2004 van de voorzieningenrechter van de Centrale Raad van Beroep over internetmisbruik door een ambtenaar van een gemeente (Zie LJN-nummer: AP9387). De rechtbank oordeelde in eerdere instantie dat het strafontslag niet evenredig was aan de aard en ernst van het plichtsverzuim. Bovendien was de ambtenaar van tevoren niet gewaarschuwd dat dergelijk gedrag tot de zwaarst mogelijke disciplinaire maatregel zou kunnen leiden. De gemeente tekende hoger beroep aan en diende tevens een schorsingsverzoek in bij de voorzieningenrechter van de Centrale Raad van Beroep. Deze oordeelde: ‘met de gemeente is de voorzieningenrechter van oordeel dat het feit dat in het e-mail- en internetprotocol van de gemeente niet is opgenomen dat gedragingen als de onderhavige voor de betrokken ambtenaar tot de zwaarst mogelijke disciplinaire maatregel kunnen leiden, niet met zich brengt dat gemeente niet bevoegd is een dergelijke straf op te leggen. De gemeente is immers op grond van het ARG bevoegd een ambtenaar disciplinair te straffen wanneer deze iets doet wat een goed ambtenaar behoort na te laten.’ Tegen het opleggen van disciplinaire maatregelen/straffen kan op basis van de Algemene wet bestuursrecht (Awb) bezwaar en beroep worden aangetekend. Het tweede lid kan eventueel nader worden ingevuld. Als voorbeeld kan worden genoemd het ontbinden van de overeenkomst en het geven van een waarschuwing.

Artikel 10 Onvoorziene omstandigheden

Het eerste lid bepaalt dat de verantwoordelijke beslist bij onvoorziene omstandigheden. Dit behoeft geen nadere uitleg.

Het tweede lid bevat de zogeheten hardheidsclausule. Een hardheidsclausule regelt, dat wanneer de toepassing van de regeling zou leiden tot ‘onbillijkheden van overwegende aard’, mag worden afgeweken van de regeling of van onderdelen ervan. Een dergelijke bepaling moet terughoudend worden toegepast. Wanneer zich regelmatig situaties voordoen waarbij toepassing van deze clausule in de rede ligt, verdient het aanbeveling de regeling zelf te wijzigen en zodoende op deze situaties toe te snijden. De hardheidsclausule is opgenomen omdat er aanleiding is te verwachten dat, gelet op het doel en de strekking van het privacyreglement , de toepassing ervan kan leiden tot onbillijkheden van overwegende aard in niet precies te voorziene gevallen of groepen van gevallen. In de hardheidsclausule is zo concreet en nauwkeurig mogelijk aangegeven op welke onderdelen het privacyreglement deze van toepassing is.

Artikel 11 Slotbepalingen

Het privacyreglement moet helder naar de medewerkers worden gecommuniceerd. De medewerkers moeten weten wat verboden is en wat is toegestaan, dat controle mogelijk is, op welke manier die controle geschiedt en wat de consequenties zijn bij overtreding van het privacyreglement. Het reglement kan bijvoorbeeld naast verstrekking op papier, tevens op het beeldscherm van medewerkers worden gepresenteerd tijdens het opstarten van het systeem of van het programma. Op die manier is verzekerd dat de medewerkers zich bewust zijn van het privacyreglement. De wijze waarop de evaluatie plaatsvindt geschiedt in overleg met de ondernemingsraad (onder meer wat wordt geëvalueerd, criteria enz). Elektronische controle van computergebruik raakt het terrein van de bescherming van de persoonlijke levenssfeer van de medewerker. Op het controleren van het gebruik van e-mail en internet op de werkplek is daarom de Wet bescherming persoonsgegevens van toepassing, die op 1 september 2001 in werking is getreden.