Privacy Café

Bovenstaande kadert in het licht van best practices en hinderpalen bij het uitwerken van een privacybeleid binnen een organisatie of bedrijf, rekening houdend met de impact van de nieuwe Europese verordening. De praktijkervaringen en ‘war-stories’ die gedurende deze avondsessie op tafel gelegd werden, toonden niet alleen aan voor welke uitdagingen bedrijven vandaag de dag staan, maar ook dat er over de gedachte ‘privacy op de werkvloer’ diverse standpunten heersen. Zo kunnen we enerzijds een houding onderscheiden van mensen die privacy op de werkvloer als irrelevant beschouwen, met andere woorden, hetgeen een werknemer uitvoert als professioneel goed aanzien en daarbij van mening zijn dat dit bekeken mag worden, end of story. Omgekeerd bestaat er ook een groep die zegt: “we mogen anderen niet controleren, we mogen e-mail en surfgedrag niet bekijken als we niet in het bezit zijn van een voorafgaande toestemming”. Vanuit een realistische en praktische visie zijn dat uiteraard standpunten die extreem zijn en die niet meer bij onze tijdsgeest passen.

Zoals eerder werd vermeld, wordt de kloof tussen werk en privé hedendaags steeds kleiner, hetgeen op zich ook geen probleem hoeft te zijn, maar niet per definitie wil zeggen dat privacy ook een absoluut recht is geworden op de werkvloer. Hierbij is Hans Graux van mening dat de kernboodschap moet zijn, dat bedrijven en werknemers in hun policies streven naar een gemeenschappelijk standpunt, een common ground waarbij naar een evenwicht gezocht wordt. Zelf kan hij zich beroepen op hetgeen hij persoonlijk heeft mogen ervaren en op elementen vanuit rechtszaken, hetgeen hij in zijn uiteenzetting opsplitste in een aantal concrete cases.

Een eerste case handelt over een werkgever die één van zijn werknemers er op betrapte in het bijzonder productief te zijn. Na de werkuren werden de activiteiten van de werknemer bekeken door een nadere analyse van zijn werkcomputer en kwam men een zeer grote hoeveelheid pornografisch materiaal op het spoor. Hieruit bleek dat deze persoon meer dan de helft van zijn werkdag bezig was met het bekijken van dergelijke websites en in totaal 2,5 miljoen pornografische afbeeldingen en video’s had bewaard. Interessant om eens over na te denken dus hoe hier gepast mee omgegaan kan worden, alsook in het verlengde daarvan in het kader van de hele ‘BYOD’ (Bring Your Own Device) problematiek. Merk op dat in die context, wat er op een harde schijf staat vandaag de dag niet veel meer zegt. In tijden van steaming data is het eerder gebruikelijk om te gaan kijken naar de data-traffic; het communicatieverkeer. Van werknemers die zich tijdens de werkuren bezighouden met dergelijke buitensporigheden, gaat het immers opvallen dat ze meerdere gigabytes aan data verzetten terwijl hun collega’s bijvoorbeeld met 500 megabyte per maand voldoende hebben.

Maar hoe zit dat nu eigenlijk juist met privacy op de werkvloer? Voor veel mensen blijkt dit een vreemd en niet zo evident begrip te zijn. In onze wetgeving maakt men duidelijk onderscheid tussen regelgeving voor werknemers, aannemers en onderaannemers wat juridisch een heel belangrijk onderscheid is, hetgeen hem zit in het feit dat de werkgever het recht heeft een bepaald toezicht ten aanzien van zijn werknemers uit te oefenen. Uiteraard wil dit niet zeggen dat de ene heel sterk een privacy-bescherming geniet en de andere helemaal geen. Wat dit wel impliceert is dat een werknemer standaard bepaalde inbrengen in zijn privacy moet dulden en het gemakkelijker getolereerd wordt dat zijn activiteiten in de gaten gehouden worden. Bij aannemers en onderaannemers is het daarentegen belangrijk om hierover expliciete afspraken te maken. Doet men dat niet, dan geldt gewoon standaard de privacywetgeving. Op die manier wordt het bijgevolg tamelijk moeilijk om die mensen in de gaten te houden en te evalueren. Dat houdt dus ook in dat als je in een organisatie werkt waar bijzonder veel (onder)aannemers gebruik mogen maken van de netwerkinfrastructuur, het van belang is om in overeenkomsten vast te leggen wat er geëvalueerd mag worden en op welke manier. In dergelijke gevallen is het dus veel belangrijker om bindende afspraken te maken.

In de werksfeer, specifiek voor werknemers, onderscheiden we een aantal belangrijke zaken die in de praktijk regelmatig bestudeerd worden. Een eerste belangrijk arrest dateert van 1992 voor het Europees hof van de rechten van de mens waar de vraag gesteld werd in welke mate men in een ruime context recht had op privacyschending. Binnen deze case behandelde de Duitse advocaat Niemietz een dossier voor één van zijn cliënten, Wegener genaamd. Deze laatste was actief in een vrijzinnige vereniging tegen alle vormen van religiositeit. Op een gegeven moment werd een huiszoeking gedaan bij advocaat Niemietz. Door middel van deze huiszoeking hoopten de autoriteiten meer over Wegener te weten te komen. Niemietz was het echter niet eens met de doorzoeking van zijn kantoor. Hierbij oordeelde de rechtbank dat het recht op privacy niet opgeschort wordt in de professionele context en dit met als grondreden dat het voornamelijk in die professionele context is dat mensen een groot deel van hun tijd doorbrengen, hun persoonlijke relaties en contacten uitbouwen. Uitgangspunt hierbij was, om niet gewoon per definitie het standpunt in te nemen dat in een professionele context privacy niet meer bestaat.

Een ander interessant en recent arrest dat dateert van 12 januari 2016 is de zaak Barbulescu tegen Roemenië waarbij het Europees Hof voor de Rechten van de Mens (EHRM) een uitspraak diende te doen. Een Roemeense werknemer had Yahoo Messenger op zijn werkcomputer geïnstalleerd en werd betrapt op het chatten met zijn verloofde en zijn broer. Hij werd daarvoor ontslagen omdat er in dit geval een heel duidelijke policy was binnen het bedrijf. Kortom, dit is een voorbeeld waar men wel het harde standpunt innam en zei: “werkapparatuur is werkapparatuur en mag niet gebruikt worden voor privédoeleinden, zonder uitzonderingen”.

Barbulescu was het daar niet mee eens en beriep zich op zijn recht op privacy. Het hof van justitie oordeelde hierbij dat het allemaal zo extreem niet was en een werkgever wel degelijk een dergelijk verbod kan opleggen en dat het niet kan opgelegd worden dat een werkgever privé-communicatie nooit mag verbieden. Het is wel degelijk mogelijk om op te leggen dat geen enkele vorm van privé-communicatie toegelaten is. In de praktijk komt dit laatste niet vaak meer voor en houden veel bedrijven er rekening mee dat er zaken zoals homebanking gebeuren. Men kan dus stellen dat er een zekere tolerantie gegroeid is, maar juridisch gezien is het zeker nog toegelaten om binnen een bedrijf absoluut verbod op te leggen wat privé-communicatie betreft. In België zijn de voornaamste regelgevingen waar men rekening mee dient te houden bij de bescherming van persoonlijke gegevens op het werk, enerzijds de privacywetgeving en anderzijds CAO81. Binnen de privacywetgeving (hetgeen in de toekomst de GDPR gaat worden) moet men ervoor zorgen dat, als men persoonlijke gegevens inzamelt, men rekening houdt met bijvoorbeeld het finaliteits- en proportionaliteitsbeginsel alsook dat men transparant communiceert naar de werknemers toe. Anderzijds speelt CAO81, dewelke specifiek handelt over de bescherming van elektronische online communicatiegegevens, hier ook een belangrijke rol. Deze gaat zowel over e-mailverkeer als over surfen naar websites en impliceert voornamelijk documentatie over hoe regels van de privacywet moeten toegepast worden in die specifieke context, nl de bescherming van arbeidsrecht. De voornaamste verplichting van die CAO is dat organisaties een policy moeten hebben die vooraf wordt meegedeeld aan werknemers, waarin men duidelijk stelt wat men gaat doen, welke controles men gaat uitvoeren, voor welke doeleinden en welke gevolgen men daaraan gaat geven. Deze CAO is explicieter in die zin dat er een opsomming bestaat van een aantal redenen waarom men communicatie mag monitoren in de praktijk. Vier specifieke redenen waarbij men online communicatie mag monitoren zijn:

• Voorkomen van strafbare feiten;
• De goede werking van de ICT-infrastructuur bewaken;
• Het laten handhaven van de gedragscodes;
• Beschermen van het economische en maatschappelijke belang van de onderneming.

In de praktijk moet dus, om een acceptabele policy uit te werken, duidelijk gecommuniceerd worden welk van die 4 redenen wordt gehanteerd om welk soort communicatie in de gaten te houden. In realiteit zien we heel vaak een ‘copy/paste’ van de CAO, niemand is daar creatief in. Uiteraard mag men hier ook het proportionaliteitsmechanisme niet uit het oog verliezen. Het is niet omdat iets is toegelaten onder een policy, dat je zomaar alles mag doen en daarbij alle mogelijke communicatie systematisch in de gaten mag houden. Je moet effectief evalueren of er een reden is, met andere woorden of er een concrete aanleiding is om gedrag van mensen te controleren. Het gaat dus niet op om vanuit drijfveren als nieuwsgierigheid, het doen en laten van mensen gedurende de hele dag op te volgen, er moet effectief wel een gegronde reden zijn. Ook belangrijk wanneer men tot dergelijke procedures van monitoren overgaat, is dat men moet aangeven binnen de policy hoe lang men die gegevens gaat bewaren. Wat niet in de policy hoeft te staan maar ook belangrijk is, is het bepalen van een aanpak binnen een organisatie van wat men concreet gaat doen als een inbreuk wordt vastgesteld. Het is niet zo eenvoudig om te zeggen: “we merken dat deze persoon niet veel presteert, we gaan even de logfiles bekijken,…”. Zoals bovenstaand eerder werd vermeld, bestaan er specifieke procedures die worden voorgeschreven door CAO81.

Kort samengevat, komt het er op neer dat men een bepaalde escalatieprocedure dient te volgen waarbij men niet meteen naar het zwaarste wapen (ontslag van de betrokkenen) zal grijpen. In de praktijk gaat men dus meestal niet onmiddellijk tot individualisering overgaan. Met een algemene waarschuwing of mededeling in de vorm van “We merken dat een aantal personen het niet zo nauw nemen met hun surfgedrag,..” bereikt men vaak al het gewenste effect. Als men toch merkt dat het probleem zich blijft voordoen, dan mag men overgaan naar individualisering en mensen rechtstreeks aanspreken. In principe dient men eerst een overlegmoment met vertegenwoordigers van de werknemers in te bouwen, alvorens rechtstreeks een individuele medewerker aan te spreken, hetgeen men beschrijft als een indirecte individualisering. Ook zijn er gevallen waarbij dat overleg niet nodig is. Wanneer men specifiek wil optreden tegen strafbare feiten, duidelijke overtredingen tegen de gedragscode constateert of wanneer het nodig is om economische belangen van het bedrijf te behartigen, mag men rechtstreeks de werknemer bij zich roepen en een dialoog voeren, aangeven wat men vaststelt en vragen of de persoon in kwestie daar een uitleg voor heeft. Het is pas nadat dit gesprek is gevoerd, dat men effectief actie mag ondernemen. Veel bedrijven stellen eerst vast dat er een probleem is en merken dan dat er geen policy is, wat ze vervolgens in de praktijk moeten doen is zorgen dat er policy is en die van kracht verklaren.

De tweede case van de avond is gerelateerd aan de diefstal van gegevens met een scenario waarbij V. het bedrijf verlaat en K. contacteert voor loongegevens. De case gekend onder ‘de zaak K.’ deed zich voor in 2004 te Brussel en is een tamelijk typische zaak in die zin dat het een probleem is waarmee organisaties regelmatig te maken krijgen. Persoon V. verlaat op gegeven moment zijn bedrijf, verlaat de werkgever en wil voor een concurrerende organisatie beginnen. Achteraf stuurt deze naar zijn collega een mail met de vraag om loongegevens te krijgen van de medewerkers van het bedrijf dat hij verlaten heeft, wellicht om die mensen een concurrentieel bod te kunnen doen. Echter werd binnen het bedrijf het mailverkeer gefilterd waarbij het mogelijk was om te zien wie er nog communiceerde met die persoon V. en meneer K. werd ontslagen. Er werd een procedure opgestart door meneer K. op basis van het argument dat zijn mailverkeer in de gaten gehouden werd, hij daarbij niet op de hoogte was en vond dat zijn privacy geschonden was. In dit geval heeft de heer K. effectief gelijk gekregen van de rechtbank. Men heeft hier het verdict van een onrechtmatig bewijs gesteld gezien er geen policy was binnen het bedrijf, men had daarover transparant moeten zijn. Kortom, een systematische controle zonder policy resulteerde hier in een onrechtmatig ontslag waarbij de beklaagde een vergoeding kreeg van 23.000 euro.

We kennen hier ook een vergelijkbare zaak, met een iets wat andere uitkomst, die zich afspeelde op 2 mei 2000 te Brussel, dewelke handelde over 2 collega’s die een affaire met elkaar begonnen en tijdens de werkuren bijzonder veel e-mails met elkaar gingen uitwisselen. Dit resulteerde onder andere in deadlines die werden gemist en projecten waarvan de kwaliteit zichtbaar achteruit ging. Ook hier werd er controle gedaan op het mailverkeer en werd opgemerkt dat er vooral veel privé-communicatie was tussen deze twee personen, waarbij men uiteindelijk is overgegaan tot het ontslag van één van deze personeelsleden. Hier oordeelde de rechter dat er een grondslag was voor ontslag onder de noemer van een ‘gewoonlijk voorkomende lichte fout’ maar zonder policy en systematische controles vooraf. Bovendien stelde hij de inbreuk op de privacy buitensporig, zo werd het proportionaliteitsbeginsel door de werkgever niet zo nauw genomen gezien lang nadat het probleem vastgesteld en duidelijk werd, hij nog steeds alle conversaties tussen beide personen verder bleef opvolgen. Dit resulteerde in een wederzijdse schadevergoeding waarbij de werkgever weliswaar tot de betaling van het hoogste bedrag werd veroordeeld. Interessante cases dus die bloot leggen waar de belangrijke punten en uitdagingen zitten.

Wat we hieruit kunnen onthouden, is dat er een expliciete policy moet bestaan dewelke vooraf gecommuniceerd dient te worden aan de werknemers. Dit mag onder de vorm van een bijlage bij een contract, communicatie via mail of op internet; men mag zelf een oplossing kiezen die gepast is. Achteraf bij controles, dient men onder andere het proportionaliteitsbeginsel te respecteren, indien men dit niet doet, kan dat veel geld gaan kosten.

Een interessant gegeven, aangereikt vanuit het publiek, is dat we hier duidelijk komen tot een dualiteit. In het ene geval, waar sprake is van een zware fout, wordt het bewijs door de rechter compleet buiten beschouwing gelaten waardoor het ontslag onrechtmatig wordt, terwijl hier de baseline is dat het ontslag rechtmatig wordt bevonden. Dit klopt, rekening houdende met wat we weten dat wanneer er geen policy is, de rechtsgeldigheid van bewijsmateriaal betwistbaar wordt; dat is de concrete maatregel die binnen voorgaande cases werd toegepast. Een zwart-wit regel bestaat niet, hetgeen men in de antigoonleer omschrijft als ‘bewijsrecht’, wat voor een nuancering zorgt. Dit hoeft niet per definitie in alle gevallen zo te zijn; een rechter mag rekening houden met de mate waarin de rechten van de partijen geschonden zijn, of die partijen nog recht hebben op een eerlijk proces als het bewijs nog zou worden toegelaten. Dit is ingebouwd om de eenvoudige reden dat het niet de bedoeling kan zijn dat een slimme advocaat erin slaagt om iemand, die duidelijk schuldig is, toch vrij te pleiten. De voornaamste lessons learned hierbij zien we in het feit dat je er best voor zorgt dat er policies zijn en er duidelijk over wordt gecommuniceerd; als dat niet zo het geval is speel je met vuur.

Een derde case is er één die ongetwijfeld voor een slechte nachtrust zorgt wanneer een personeelslid om 19.00 uur ’s avonds per ongeluk een foute mailinglijst aanroept waarbij een Excel-sheet in een mum van tijd naar het gehele bedrijf wordt verzonden en bij een tweeduizendtal collega’s in de mailbox belandt. Hierbij rijst meteen de vraag of de IT-verantwoordelijke de mails uit de inboxes mag halen voor de nieuwe werkdag aanbreekt?

Technisch gezien zou dat uiteraard perfect mogelijk zijn maar anderzijds geldt hier ook het spreekwoord ‘once the genie is out of the bottle,..’. Het wordt moeilijk om dit nog te verstoppen of te doen alsof er niets is gebeurd. Ook de post-factum communicatie is in deze van groot belang. Gezien het transparantiebeginsel belangrijk is, deed men er zeker goed aan om oprecht te zijn, temeer omdat bekend was dat een aantal werknemers het document reeds in hun bezit hadden, hetgeen de zaak toedekken onverstandig of zelfs onmogelijk maakte. Het gaat hier dus opnieuw over een interessant geval waarbij er sprake is van een eenvoudig foutje waardoor we even een inbreuk moeten maken op het telecommunicatiegeheim. Best-Practices in dergelijke gebeurtenissen vinden we in het inbouwen van beperkingen, het filteren van de toegang tot specifieke data en de manier waarop geëxporteerd wordt. Zo had deze werknemer maar van een beperkt aantal mensen uit bepaalde afdelingen gegevens nodig. We kunnen constateren dat wanneer je niet alle gegevens nodig hebt, je beter ver uit de buurt blijft van die ‘export all’-knop; het is vaak de gemakkelijkste oplossing maar naar privacy toe kan dit soms slecht aflopen. Dit zijn slechts enkele van vele voorbeelden die nuttig zijn om dieper over na te denken en die aantonen hoe je in de toekomst kan voorkomen dat een dergelijk of gelijkaardig incident zich herhaalt en hoe je de impact ervan kan reduceren.

Zo kan het ook voorkomen worden dat, in bepaalde vaak pijnlijke situaties, zich plots een specifieke aanpak opdringt; zoals bijvoorbeeld bij het overlijden van een medewerker na een auto-ongeval. Wat te doen met zijn mails, dossiers, computer… Hoe dienen we daar gepast mee om te gaan? Gedurende de avond konden we ontdekken dat hier meer bij komt kijken dan louter administratieve en juridische principes maar ook het ethische aspect de nodige aandacht vereist en in het bijzonder rekening moet worden gehouden met de nabestaanden. In de praktijk komt het ook voor dat bedrijven op dergelijke momenten constateren dat hun back-up procedures toch niet zo degelijk waren als ze oorspronkelijk dachten, dat bepaalde toegangen vereist werden om tot een aantal documenten te geraken waarbij enkele documenten niet recupereerbaar blijken. Mogelijk staat een gedeelte van de gegevens op de persoonlijke netwerkschijf en een ander gedeelte in de mailbox van de overleden werknemer, waarbij zich eventueel privézaken in die mailbox bevinden, waarbij het niet wenselijk is dat collega’s ze bekijken. Ook hier geldt dat er technisch heel wat mogelijk is zoals het resetten van wachtwoorden, toegang verkrijgen tot netwerkback-ups en mailboxen maar dat duidelijke interne afspraken en policies tot heel wat minder kopzorgen kunnen leiden.

De discussies omtrent deze materie brachten ons dan ook tot waardevolle inzichten, onder andere hoe een aantal bedrijven daar momenteel op inspelen, wat ze daarbij zeer goed doen of eerder beter kunnen afstemmen om conflicten in de toekomst te vermijden. Zo zien we ook dat er nuancering gemaakt kan worden wanneer het op de keuze van praktische acties neerkomt, zoals bijvoorbeeld het inzetten van een ‘out-of-office’ melding en de wijze waarop die heel concreet worden ingevuld. Juridisch is dit eenvoudiger dan je op het eerste zicht zou vermoeden. Zo is de privacywetgeving niet van toepassing op overledenen hetgeen ook zo zal blijven bij de GDPR. Het spreekt voor zich dat men een natuurlijke terughoudendheid in acht moet nemen bij het bekijken van dergelijke persoonsgegevens. De meeste organisaties gaan dat wellicht wel intuïtief doen maar het is het uiteraard niet waard om risico’s te nemen en men kan dus maar beter een proactieve houding aannemen. Daarbij is het ook zo dat het niet is omdat de privacywet strikt genomen niet van toepassing is dat men zomaar kan doen wat men wil met de gegevens van een overleden persoon.

Approaches waarbij de basisprincipes van privacy gerespecteerd worden, men neutraliteit tracht te waarborgen en extra controle-mechanismen inbouwt als daar zijn het ‘four-eyes principle’ verdienen de voorkeur en zijn enkele basisingrediënten bij het streven naar een aanpak waar ethische en privacygerelateerde belangen van het individu en businesscontinuïteit te verzoenen zijn. Heldere taal van Hans Graux gedurende de avond die ons meteen heel wat handvaten wist aan te reiken om dit in de praktijk om te zetten!