Regeling vervallen per 02-01-2020

Besluit van het Dagelijks Bestuur van het Waterschap De Dommel houdende regels omtrent geautomatiseerde verwerking van persoonsgegevens Verordening elektronische communicatie 2001

Geldend van 18-04-2018 t/m 01-01-2020

Intitulé

Besluit van het Dagelijks Bestuur van het Waterschap De Dommel houdende regels omtrent geautomatiseerde verwerking van persoonsgegevens Verordening elektronische communicatie 2001

Artikel 1 Begripsbepaling

In deze verordening wordt verstaan onder:

  • a.

    de wet:

    de Wet bescherming persoonsgegevens (Wbp);

  • b.

    het waterschap:

    het waterschap De Dommel;

  • c.

    het bestuur:

    het dagelijks bestuur van het waterschap De Dommel;

  • d.

    intern:

    tussen medewerkers van het waterschap onderling;

  • e.

    extern:

    tussen medewerkers van het waterschap en derde(n);

  • f.

    SAW:

    Sectorale Arbeidsvoorwaarden Waterschapspersoneel;

  • g.

    medewerkers:

    werknemers en bestuursleden van waterschap De Dommel;

  • h.

    systeembeheerder:

    de persoon/personen die door waterschap De Dommel aangesteld zijn als systeembeheerder,

Artikel 2 Toepassingsbereik en doel

Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde vetwerking van persoonsgegevens door het waterschap als bedoeld in de wet en heeft als doel het tegengaan van misbruik van het primair voor zakelijk gebruik bestemde e-mail- en internetsysteem binnen het waterschap.

Artikel 3 E-mailgebruik

Lid 1

Medewerkers van het waterschap mogen het e-mailsysteem voor niet-zakelijk verkeer gebruiken voor het ontvangen en ver sturen van persoonlijke e-mailberichten zowel intern als extern, tenzij dit storend is voor de uitvoering van hun dagelijkse werkzaamheden en voorts onder de volgende voorwaarden:

  • a.

    De verstuurde mail zal een disclaimer bevatten;

  • b.

    Het is niet toegestaan dreigende, seksueel intimiderende, pornografische of racistische berichten te versturen;

  • c.

    Het is niet toegestaan berichten als bedoeld onder b bij eventuele ontvangst intern door te sturen aan andere e-mailgebruikers;

  • d.

    De door de secretarisdirecteur eventueel te geven nadere aanwijzingen moeten in acht genomen worden,

Lid 2

Het bestuur is bevoegd om, met inachtneming van artikel 2, de systeembeheerder een opdracht te geven tot het steekproefsgewijs van een of meer der e personen, afdelingen of sector en gegevens over het e-mailgebruik, zoals aantallen mails, mail-adressen en andere data hieromtrent, met uitzondering van het openen en lezen daarvan, gedurende maximaal drie maanden achtereen te regi-streren en te controleren, mits dit tijdig voor af aan de betrokkenen en de ondernemingsraad bekend wordt gemaakt.

Lid 3

Het bestuur is, zonder voorafgaande kennisgeving aan dan wel toestemming van de werknemer gedurende een periode van maximaal drie maanden, met inachtneming van artikel 2, bevoegd om de systeembeheerder een opdracht te geven tot het openen en lezen van e-mailberichten indien er een redelijk vermoeden van onrechtmatig gedrag bestaat.

Lid 4

Het bestuur neemt een beslissing binnen twee maanden na afloop van de in het tweede of derde lid bedoelde periode van registratie en controle dan wel het openen en lezen van e-mailberichten. Het betreft een beslissing over de waag of er sprake is van een situatie van plichtsverzuim (artikel 8.1.1 SAW)

Artikel 4 Internetgebruik

Lid 1

Medewerkers van het waterschap mogen het internetsysteem voor niet-zakelijk verkeer gebruiken, tenzij dit storend is voor de uitvoering van hun dagelijkse werkzaamheden dan wel in strijd komt met de door de secretarisdirecteur gegeven nadere aanwijzingen.

Lid 2

Het is niet toegestaan bewust sites te bezoeken die pornografisch of racistisch materiaal bevatten.

Het bestuur kan bepaalde internetpagina's ontoegankelijk maken.

Lid 3

Het bestuur is bevoegd om, met inachtneming van artikel 2, de systeembeheer der een opdracht te geven tot het steekproefsgewijs van een of meerdere personen, afdelingen of sectoren uitsluitend persoonsgegevens over de tijdsbesteding van het internet gedurende maximaal drie maanden achtereen te registreren en te verwerken, mits dit tijdig vooraf aan de betrokkenen en de ondernemingsraad bekend wordt gemaakt.

Lid 4

Het bestuur is, zonder voorafgaande kennisgeving aan dan wel toestemming van de werknemer, gedurende een periode van maximaal drie maanden, met inachtneming van artikel 2, bevoegd om de systeembeheerder een opdracht te geven tot het registreren en controleren van individuele persoonsgegevens over internetgebruik, zoals tijdsbesteding en bezochte sites, indien er een redelijk vermoeden van onrechtmatig gedrag bestaat.

Lid 5

Het bestuur neemt binnen twee maanden na afloop van de in het derde of vierde lid bedoelde periode van registratie en controle een beslissing. Het betreft een beslissing over de vraag of er sprake is van een situatie van plichtsverzuim (artikel 8.1.1 SAW).

Artikel 5 Inwerkingtreding en citeertitel

Lid 1

Deze verordening treedt in werking met ingang van de dag na bekendmaking op de wettelijk voorgeschreven wijze.

Lid 2

Deze verordening kan worden aangehaald als 'Verordening elektronische communicatie 2001'.

Geheimhoudingsverklaring

Geheimhoudingsverklaring

Ondertekening

Algemene en artikelsgewijze toelichting

Inhoudsopgave

  • Algemeen

  • Artikel 1 Begripsbepaling

  • Artikel 2 Toepassingsbereik en doel

  • Artikel 3 E-mailgebruik

  • Artikel 4 Internetgebruik

  • Artikel 5 Inwerkingtreding en citeertitel

Algemeen

Inleiding

Steeds duidelijker kan worden vastgesteld dat de ontwikkeling en toepassing van nieuwe informatie- en communicatietechnologie [ICT] in de komende jaren een zeer grote impact zullen hebben op de maatschappelijke verhoudingen. De gevolgen hiervan onttrekken zich vaak aan de waarneming van de gemiddelde burger c.q., werknemer. Het is dan ook van cruciaal belang, dat ICT ook in de toekomst gegrondvest blijft op de beginselen van de rechtstaat. Daarbij spelen niet alleen economische belangen een rol, maar zullen werknemers (en burgers) moeten kunnen blijven rekenen op een adequate bescherming van hun fundamentele rechten en vrijheden, waaronder het recht op privacy. Dit waagt een toereikend wettelijk kader waarin deze rechten en vrijheden door betrokkenen geldend kunnen worden gemaakt en zo nodig kunnen worden afgedwongen Het vertrouwen in de nieuwe vormen van ICT is immers een onmisbaar element voor de acceptatie daarvan.

Regelgeving

Op het controleren van het gebruik van e-mail en internet op de werkplek is de Wet bescherming persoonsgegevens (voorheen Wet persoonsregistraties) van toepassing. Verder spelen enkele andere normen en rechtsbeginselen een rol zoals:

  • de werking van het recht op privacy tussen werkgever en werknemer (artikel 10 Grondwet, artikel 8 EVRM);

  • het recht op vertrouwelijke communicatie (artikel 13 Grondwet, artikel 139a en 139b Wetboek van Strafrecht;

  • het verbod van computervredebreuk (artikel 138a Wetboek van Strafrecht);

  • de algemene beginselen van behoorlijk bestuur.

Noodzaak en kenbaarheid

Voordat tot controle wordt overgegaan, moet zijn komen vast te staan dat dit noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de werkgever. Bij de publieke sector moeten in dat geval het doel van de controle, de eventuele gevolgen en de te volgen procedures in een regeling worden vastgelegd. Ook moet het voor de werknemer kenbaar zijn, dat er kan worden gecontroleerd Hieraan is invulling gegeven door in het openingsscherm van intranet expliciet daarop te wijzen.

Controle

In beginsel is het controleren van e-mail- en internetgebruik en het openen van e-mail ten behoeve van het opsporen van onrechtmatig gedrag van de werknemer en het beschermen van het primair voor zakelijk gebruik bedoelde computernetwerk toegestaan. Maatgevend voor de uitvoering van de controle is welk vermoeden van onrechtmatig gedrag aanwezig is, de ernst van de gevolgen voor de betrokken werknemers en de werkgever en de wijze waarop in passende waarborgen voor de bescherming van de privacy van de medewerkers wordt voorzien In de voorliggende verordening zijn hiertoe regels opgesteld, waarbij aandacht is besteed aan het voorkomen van het te veel juridischer en van de privacybescherming en een niet op de praktijk afgestemde toepassing daarvan.

Het bestuur kan de systeembeheer der een opdracht geven tot het registreren, controleren, openen en lezen van e-mail. Het bestuur kan tevens opdracht geven om (individuele) persoonsgegevens over internetgebruik te controleren, registreren en te bewerken Van de systeembeheerder wordt strikte geheimhouding verwacht. Dit zal middels een geheimhoudingsverklaring worden vastgelegd.

Voorzover OR-leden onderling via de e-mail communiceren als OR-lid is hun e-mail beschermd en mag de werkgever daar geen kennis van nemen. Hetzelfde geldt voor de bedrijfsarts(en). Vragen die via het intranet aan de OR worden gesteld dienen vertrouwelijk behandeld te worden.

Relatie met Algemene wet bestuursrecht

Beslissingen en eventuele maatregelen van het bestuur op grond van of voortvloeiend uit deze verordening of de Wbp worden aangemerkt als besluiten in de zin van artikel 1:3 van de Algemene wet bestuursrecht. Daartegen kan op grond van de Algemene wet bestuursrecht bezwaar en beroep aangetekend worden.

Instemming ondernemingsraad

Het controleren van e-mail- en intemetgebruik is een per soneelsvolgsysteem Voor de invoering daarvan en het opstellen van een verordening daarvoor is op grond van artikel 27, eerste lid, onder 1 van de Wet op de ondernemingsraden de instemming van de ondernemingsraad vereist.

Melding aan College bescherming persoonsgegevens [Cbp]

Tot slot moet de verwerking van persoonsgegevens als bedoeld in deze verordening op grond van artikel 27 van de Wbp bij het College bescherming persoonsgegevens (voorheen Registratiekamer) (éénmalig) worden gemeld, alvorens daarmee begonnen mag worden. Door het melden is het Cbp beter in staat toezicht uit te oefenen op deze gegevensverwerkingen De melding heeft tevens tot doel dat de verantwoordelijke, in dit geval het waterschap, geprikkeld wordt om zich rekenschap te geven van de doeleinden waarvoor hij persoonsgegevens wil verwerken en verslag te doen van de overwegingen welke persoonsgegevens noodzakelijk zijn voor het bereiken van het doel en van het gebruik van de gegevens in verband met dat doel.

Er is overigens geen sprake van een vrijstelling van deze meldingsplicht op grond van het Vrijstellingsbesluit, gelet op het feit dat de verwerkingen kunnen geschieden zonder medeweten van de betrokkene en er daardoor in beginsel sprake is van een waarschijnlijke inbreuk op diens rechten en plichten.

Artikel 1

In dit artikel zijn alleen die begripsbepalingen opgenomen die niet in de Wet bescherming persoonsgegevens [Wbp] voorkomen. Dit geldt overigens ook voor de overige bepalingen: voor zover in de Wbp een regeling is getroffen, zijn deze bepalingen niet in deze verordening opgenomen. Dit geldt bijvoorbeeld voor de rechten van de medewerkers voor wat betreft het verzoeken om informatie en het verbeteren, aanvullen, verwijderen of afschermen van hem betreffende persoonsgegevens. De verordening zal dus altijd in combinatie met de Wbp moeten worden gelezen en toegepast.

Artikel 2

Deze bepaling vloeit rechtstreeks voort uit artikel 8 van de Wbp. In dit artikel worden uitputtend de grondslagen voor het mogen verwerken van persoonsgegevens genoemd Zonder een dergelijke grondslag, ook wel doelbinding genoemd, wordt in strijd met de Wbp gehandeld.

Artikel 3

Het wordt toegestaan om het e-mailsysteem beperkt te gebruiken voor niet-zakelijke doeleinden, tenzij de goede uitvoering van de dagelijkse werkzaamheden daardoor in het geding komt. Het is daarbij overigens niet de bedoeling dat medewerkers het e-mailsysteem gebruiken voor het verzenden c.q. ontvangen van berichten met een meer persoonlijk karakter. De verantwoordelijkheid voor deze afweging berust primair bij de werknemer. Ook de desbetreffende leidinggevende heeft een signalerende, sturende en zonodig corrigerende rol.

De mail bevat automatisch een disclaimer. Disclaimers, hetgeen letterlijk afwijzing van verantwoordelijkheid betekent, verschijnen vaak onder aan mailberichten of webpagina's Hierin wordt de lezer erop geattendeerd dat de gegevens niet per definitie de opvattingen van de organisatie weergeven, wiens computernetwerk immers gebruikt wordt voor het verzenden van e-mailberichten. Aan de gegevens kunnen dan ook geen rechten ontleend worden.

Voorts kan de secretaris-directeur nadere aanwijzingen geven, die in acht moeten worden genomen. Gedacht kan worden aan het verbieden van het e-mailen van zeer grote of specifieke bestanden waardoor het computernetwerk overmatig c.q.overbelast wordt voor wat betreft de uitvoering van de reguliere werkzaamheden.

Het bestuur is bevoegd om steekproefsgewijs gedurende maximaal drie maanden controles uit te voeren op het e-mailgebruik, met uitzondering van het openen en lezen van e-mails, mits hiervan aan de betrokkenen en de ondernemingsraad tijdig vooraf kennis wordt gegeven De grondslag voor het mogen controleren van e-mailgebruik is art 8, sub f Wbp Het voeren van een goede bedrijfsvoering is een `gerechtvaardigd belang' waar art 8, sub f over spreekt. Conform de Wbp dient een dergelijke controle vooraf aan betrokkenen worden medegedeeld De bevoegdheid van het dagelijks bestuur is gemandateerd aan de secretarisdirecteur

Het openen en lezen van e-mailberichten is alleen toegestaan indien er een redelijk vermoeden van onrechtmatig gedrag bestaat Het louter constateren dat de werkzaamheden niet tot tevredenheid worden uitgevoerd is daarvoor uiteraard onvoldoende. Er moeten (meer) omstandigheden of feiten aangevoerd worden, die redelijkerwijs duiden op een onrechtmatig gedrag in de zin van artikel 3, eerste lid en artikel 4, eerste en tweede lid van deze verordening. Te denken valt bijvoorbeeld aan (aanhoudende) klachten van medewerkers over het ongewenst ontvangen van e-mail met bijgevoegde racistische of pornografische teksten, plaatjes of filmpjes, de houding en opstelling van de betrokkene en/of uitlatingen in het openbaar.

De betrokken medewerker heeft recht op inzage in de verzamelde gegevens.

Het bestuur moet binnen twee maanden een (rechtspositionele) beslissing nemen die hem geraden voorkomt. Daarbij kan gebruik worden gemaakt van de disciplinaire maatregelen van artikel 8.1.2 SAW of er kan een andere passende maatregel worden opgelegd. De betrokkene moet daarvan schriftelijk in kennis worden gesteld. Uiteraard moeten daarbij de bepalingen van het bindende deel I van het SAW-boekje in acht genomen worden, met name de verantwoordingsplicht (artikel 8.1.3 en verder SAW) jegens de desbetreffende ambtenaar. Deze verantwoordingsplicht houdt in dat een (disciplinaire) straf niet eerder wordt opgelegd dan nadat de ambtenaar in de gelegenheid is gesteld zich mondeling of schriftelijk te verantwoorden ten overstaan van het bestuur of een door het bestuur aangewezen vertegenwoordiger.

Op deze manier wordt de procedure kenbaar en helder afgebakend. Neemt het bestuur binnen deze termijn geen beslissing, dan moet het de gegevens direct daarna vernietigen Indien het bestuursorgaan wel een beslissing neemt, moeten de gegevens na acht weken, ingaande de dag na de bekendmaking aan de betrokkene, worden vernietigd, tenzij er gedurende deze periode bezwaar of beroep is aangetekend In dat laatste geval vindt vernietiging pas plaats binnen acht weken nadat de beslissing onherroepelijk is geworden De betrokkene moet hiervan schriftelijk in kennis gesteld worden. Hiermee wordt invulling gegeven aan artikel 10 Wbp waarin wordt bepaald dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of verwerkt.

Artikel 4

Het wordt toegestaan om het internetsysteem beperkt te gebruiken voor niet-zakelijke doeleinden, tenzij de goede uitvoering van de dagelijkse werkzaamheden in het geding komt. In dat kader is het verboden om pornografische of racistische sites te bezoeken en kan het bestuur bepaalde intemetpagina's ontoegankelijk maken. Ook hier geldt dat de verantwoordelijkheid primair bij de werknemer berust en secundair bij de leidinggevende.

Het bestuur is uitsluitend bevoegd om steekproefsgewijs gedurende maximaal drie maanden algemene gegevens over de tijdsbesteding van internet te registreren en te verwerken, mits hiervan aan de betrokkenen en de ondernemingsraad tijdig vooraf kennis wordt gegeven. De grondslag voor het mogen registreren van de tijdsbesteding aan internet is art 8, sub f Wbp Het voeren van een goede bedrijfsvoering is een 'gerechtvaardigd belang' waar art 8, sub f over spreekt. Conform de Wbp dient een dergelijke controle vooraf aan betrokkenen worden medegedeeld Deze bevoegdheid van het bestuur is gemandateerd aan de secretarisdirecteur.

Het registreren van c.q. het uitvoeren van een controle op bezochte sites, zonder voorafgaande mededeling aan of toestemming van een werknemer, is uitsluitend toegestaan als er een redelijk vermoeden van onrechtmatig gedrag bestaat. Te denken valt bijvoorbeeld aan (aanhoudende) klachten van medewerkers.

De betrokken medewerker heeft recht op inzage in de verzamelde gegevens.

Het bestuur moet binnen twee maanden een (rechtspositionele) beslissing nemen die hem geraden voorkomt Daarbij kan gebruik worden gemaakt van de disciplinaire maatregelen in artikel 8.1.2 SAW of er kan een andere passende maatregel worden opgelegd De betrokkene moet daarvan schriftelijk in kennis worden gesteld Uiteraard moeten daarbij ook de bepalingen van het bindende deel I van de SAW-boekje in acht genomen worden, met name de verantwoordingsplicht (artikel 8.1.3 en verder SAW) jegens de desbetreffende ambtenaar, Deze verantwoordingsplicht houdt in dat een (disciplinaire) straf niet eerder wordt opgelegd dan nadat de ambtenaar in de gelegenheid is gesteld zich mondeling of schriftelijk te verantwoorden ten overstaan van het bestuur of een door het bestuur aangewezen vertegenwoordiger.

Op deze manier wordt de procedure kenbaar en helder afgebakend. Neemt het bestuur binnen deze termijn geen beslissing, dan moet het de gegevens direct daarna vernietigen Indien het bestuursorgaan wel een beslissing neemt, moeten de gegevens na acht weken, ingaande de dag na de bekendmaking aan de betrokkene, worden vernietigd, tenzij er gedurende deze periode bezwaar of beroep is aangetekend. In dat laatste geval vindt vernietiging pas plaats binnen acht weken nadat de beslissing onherroepelijk is geworden De betrokkene moet hiervan schriftelijk in kennis gesteld worden Hiermee wordt invulling gegeven aan artikel 10 Wbp waarin wordt bepaald dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of verwerkt.

Artikel 5

Op grond van artikel 3:40 Awb treedt een besluit niet in werking voordat het is bekend gemaakt.