Privacy Café

Privacy Cafe 27 februari 2019

De Foyer van ’t Arsenaal, Hanswijkstraat 63 te Mechelen

Sprekers van vanavond

Erwin Maussen // DPO VRT

Erwin combineert de rol van DPO met risk & compliance management, en dit alles vanuit een sterke audit achtergrond.

Anastassia Negrouk // Head of International Policy Office van European Organisation for Research and Treatment of Cancer

Wie Anastassia Negrouk zegt, zegt: bijzondere categorieën! Ze is thuis in de wereld van clinical research en komt ons alles vertellen over de impact van GDPR op clinical research.

Het concept

Doorheen het jaar nodigt DPI gasten uit om te praten over zijn of haar job als Data Protection Officer. We gaan in op best practices en hinderpalen in het uitwerken van een privacy beleid, de impact van de Europese verordening op zijn/haar organisatie of gewoon een kritische blik op de actualiteit. Tijdens en na de presentatie volgt een gezellige receptie. De uitstekende gelegenheid om te netwerken tussen collega’s.

Doelgroep

Het Privacy Café wil een ontmoetingsplaats creëren voor professionals die bezig zijn met GDPR, zodat ze er elkaar kunnen en durven vragen stellen. In de eerste plaats nodigen we uiteraard de Alumni uit van het Data Protection Institute. Echter, iedereen geboeid door en werkzaam met deze materie, is meer dan welkom. 

Let op! Aantal deelnemers beperkt tot 120!

Inschrijven is kosteloos, maar uw inschrijving is pas geldig na ontvangst van een bevestigingsmail. Deze vindt u terug in uw mailbox na inschrijving. Zorg dat je deze zeker ontvangen hebt.

Locatie

De Foyer van ’t Arsenaal, Hanswijkstraat 63 in Mechelen.

Klik hier voor de routebeschrijving

Dit Privacy Café is sponsored by


Schrijf je nu in!

Inschrijven

Planning

  • Ontvangst 17u30
  • Eerste lezing: 18u00-19u00
  • Tweede lezing: 19u00-20u00
  • Afsluitend avondcafé: 20u00

Privacy Café 14 november 2018

Kasteel Tivoli Mechelen - Antwerpsesteenweg 92, 2800 Mechelen

Sprekers van vanavond

Jan Leonard // DPO Orange Belgium
De Kameleons van het mensenrijk: de verschillende gedaanten van een DPO

Tijdens deze lezing bespreekt Jan Leonard, DPO van Orange Belgium sinds 2012, hoe hij de functie van DPO invult. Dit in een grotere organisatie met complexe verwerkingsactiviteiten en verschillende “privacy” wetgevingen. Hoe slaagt hij erin om de veelheid van taken uit te voeren en hoe werkt hij hiervoor samen met de organisatie? Wat zijn hierbij valkuilen en vuistregels? Jan legt ons uit hoe hij als DPO zijn taken vervult, maar ook hoe hij de functie van DPO ervaart tijdens een data lek. Het opmaken van een DPIA en het contact met de GBA, de klanten (B2C en B2B), de werknemers, ... Afsluiten doen we met een overzicht van de belangrijkste uitdagingen voor de volgende jaren.

Bart Van Den Brande // Sirius Legal
Het privacyrecht in België en Europa

25 mei 2018 kwam binnen als een tornado. Inmiddels gaat het gewone leven verder. In de naweeën van 25 mei zijn er nog belangrijke aanvullingen op het wettelijk kader: denk aan de kaderwet in België, de oprichting van het Informatieveiligheidscomité en voor Vlaanderen een nieuwe toezichthouder voor de Vlaamse overheidsinstanties. Maar ook op Europees en internationaal gebied staat de wetgever niet stil. Tijdens deze sessie gaan we in op de Belgische, Europese en internationale evoluties in het Privacyrecht.

Het concept

Doorheen het jaar nodigt DPI gasten uit om te praten over zijn of haar job als Data Protection Officer. We gaan in op best practices en hinderpalen in het uitwerken van een privacy beleid, de impact van de Europese verordening op zijn/haar organisatie of gewoon een kritische blik op de actualiteit. Tijdens en na de presentatie volgt een gezellige receptie. De uitstekende gelegenheid om te netwerken tussen collega’s.

Doelgroep

Het Privacy Café wil een ontmoetingsplaats creëren voor professionals die bezig zijn met GDPR, zodat ze er elkaar kunnen en durven vragen stellen. In de eerste plaats nodigen we uiteraard de Alumni uit van het Data Protection Institute. Echter, iedereen geboeid door en werkzaam met deze materie, is meer dan welkom. 

Let op! Aantal deelnemers beperkt tot 120!

Inschrijven is kosteloos, maar uw inschrijving is pas geldig na ontvangst van een bevestigingsmail. Deze vindt u terug in uw mailbox na inschrijving. Zorg dat je deze zeker ontvangen hebt.

Nieuwe locatie

Kasteel Tivoli Mechelen- Antwerpsesteenweg 92, 2800 Mechelen

Klik hier voor de routebeschrijving

Dit Privacy Café is sponsored by Politeia


Download de presentatie's

Sirius Legal
The DPO @ Orange Belgium

Planning

  • Ontvangst 17u30
  • Eerste lezing: 18u00-19u00
  • Tweede lezing: 19u00-20u00
  • Afsluitend avondcafé: 20u00

Privacy Café 27 juni 2018

Sphinx Cinema and Cafe, Sint-Michielshelling 3, 9000 Gent

Sprekers van vanavond

Inti De Ceukelaire // Ethisch Hacker
Crowdsourced Security: get hacked before you get hacked

Samenwerken met hackers kan heel efficiënt zijn … als je het goed doet. Dus moeten we ons oor te luisteren leggen bij iemand die er alles over weet. Van Donald Trump’s Twitter account hacken tot het voorspellen van de winnaars van Temptation Island: Inti heeft al meermaals van zich laten spreken. Tijd voor een afspraak in ons Café. Inti zal spreken over croudsourced security en op welke manier je dat zinvol kan organiseren voor jouw bedrijf of organisatie. We bespreken de voor- en nadelen vanuit levensechte voorbeelden. Daarnaast zal Inti ook tips geven wat je kan doen als je met (ethische) hackers geconfronteerd wordt.

Herman Maes // Techblogger en Marketing Technologist // Dailybits.be
Ik, Herman Maes en mijn leven na 25 mei 2018

Hoe kan je GDPR als DPO relevant houden binnen een bedrijf nu dat de 25 mei deadline “gehaald” is? Waarschijnlijk hebben we allemaal wel ideeën en wilde dromen, maar we zijn en blijven een DPO. Adviezen geven is ons ding, maar kunnen we ook na 25 mei voldoende shwung houden in het DPO programma? DPI vroeg het aan één van haar alumni, Herman Maes. Herman komt vertellen over zijn persoonlijke ervaringen zoals phishing testen, security awareness en interne communicatie. Wat zijn valkuilen als interne DPO? En wat als je als externe DPO aan de slag gaat? We zoeken in deze presentatie op een gedurfde manier de grenzen op en we hopen dat jullie mee in de discussie stappen. Klaar voor een levende editie van het Privacycafé? Wij zetten het bier al koud.

Het concept

Doorheen het jaar nodigt DPI gasten uit om te praten over zijn of haar job als Data Protection Officer. We gaan in op best practices en hinderpalen in het uitwerken van een privacy beleid, de impact van de Europese verordening op zijn/haar organisatie of gewoon een kritische blik op de actualiteit. Tijdens en na de presentatie volgt een gezellige receptie. De uitstekende gelegenheid om te netwerken tussen collega’s.

Doelgroep

Het Privacy Café wil een ontmoetingsplaats creëren voor professionals die bezig zijn met GDPR, zodat ze er elkaar kunnen en durven vragen stellen. In eerste plaats nodigen we uiteraard de Alumni uit van het Data Protection Institute. Echter, iedereen geboeid door en werkzaam met deze materie, is meer dan welkom. 

Let op! Aantal deelnemers beperkt tot 120!

Inschrijven is kosteloos, maar uw inschrijving is pas geldig na ontvangst van een bevestigingsmail. Deze vindt u terug in uw mailbox na inschrijving. Zorg dat je deze zeker ontvangen hebt.

Nieuwe locatie

Sphinx Cinema and Cafe, Sint-Michielshelling 3, 9000 Gent

Klik hier voor de routebeschrijving

Download de presentatie's

Dailybits
Crowdsourced Security

Planning

  • Ontvangst 17u30
  • Eerste lezing: 18u00-19u00
  • Tweede lezing: 19u00-20u00
  • Afsluitende receptie: 20u00

Privacy Café 5 Februari 2018

De Foyer van ’t Arsenaal, Hanswijkstraat 63 te Mechelen

Sprekers van vanavond

Julien Blanchez // Global Security & Compliance Strategist // Google Cloud
More security and compliance: in the Cloud platforms

Tijdens deze lezing gaan we kort in op de technische maatregelen die cloud platformen nemen. Dit met het oog op een goede bescherming van (persoons)gegevens. De lezing gaat verder in op alle aspecten, die u kan gebruiken om aan alle partijen (zoals een verwerkingsverantwoordelijke, de betrokkene en de toezichthouder) te motiveren dat u in regel bent met GDPR. Uiteraard zijn we ook benieuwd naar de manier waarop grote cloud platformen zichzelf organiseren en zo klanten ondersteunen bij hun verantwoordings- of bijstandsplicht.

Ruben Roex // Attorney // time.lex
Big Data Analytics onder de GDPR

More security and compliance: in the Cloud platforms
In welke mate is het hergebruik van gezondheidsgegevens voor research doeleinden door privébedrijven mogelijk? We overlopen tijdens deze presentatie onder meer de uitdagingen in de beoordeling van onderzoeksactiviteiten. En bekijken dit met een Big Data bril. Wat zijn de problemen en uitdagingen bij zulke projecten? Hoe verhoudt Belgische wetgeving zich met GDPR? We leren het van deze spreker.

Het concept

Doorheen het jaar nodigt DPI gasten uit om te praten over zijn of haar job als Data Protection Officer. We gaan in op best practices en hinderpalen in het uitwerken van een privacy beleid, de impact van de nieuwe Europese verordening op zijn/haar organisatie of gewoon een kritische blik op de actualiteit. Tijdens en na de presentatie volgt een gezellige receptie. De uitstekende gelegenheid om te netwerken tussen collega’s.

Doelgroep

Het Privacy Café wil een ontmoetingsplaats creëren voor professionals die bezig zijn met GDPR, zodat ze er elkaar kunnen en durven vragen stellen. In eerste plaats nodigen we uiteraard de Alumni uit van het Data Protection Institute. Echter, iedereen geboeid door en werkzaam met deze materie, is meer dan welkom.

Let op! Aantal deelnemers beperkt tot 100!

Inschrijven is kosteloos, maar uw inschrijving is pas geldig na ontvangst van een bevestigingsmail. Deze vindt u terug in uw mailbox ten laatste 5 dagen na inschrijving.

Locatie

De Foyer van ’t Arsenaal, Hanswijkstraat 63 in Mechelen.

Klik hier voor de routebeschrijving

Download de presentatie

time.lex
Survey Thomas More: http://bit.ly/dpiatool

Planning

  • Ontvangst 17u30 (ingang via Kruidtuin)
  • Eerste lezing: 18u00-19u00
  • Tweede lezing: 19u00-20u00
  • Afsluitende receptie: 20u00

Privacy Café 23 Oktober 2017

De Foyer van ’t Arsenaal, Hanswijkstraat 63 te Mechelen

Sprekers van vanavond

Sebastien Deleersnyder – Co-founder & Managing Partner applicatie beveiliging bij Toreon & co-project leider van het OWASP OpenSAMM project
Siebe De Roovere – Privacy en Informatieveiligheid Governance Expert bij Toreon

Gedurende de afgelopen twee jaar werd meer data gecreëerd dan in de volledige voorgaande geschiedenis van ons bestaan. Data is de nieuwe olie en het wordt ontgonnen uit alle mogelijke bronnen, met name vanuit geconnecteerde toestellen, volladen met sensoren die allen tezamen bijdragen tot de verzamelnaam ‘Internet of Things’. Het louter toevoegen van nieuwe toestellen op zich heeft echter geen toegevoegde waarde, er kan pas contributie gerealiseerd worden wanneer deze apparaten zich ook naadloos kunnen integreren in de leefwereld van de gebruikers om zo te evolueren naar een ‘Internet of You’: een wereld waarin niet de toestellen maar de gebruikers centraal staan. Na deze lezing, een Q&A met Bart van Buitenen.

Sebastien Deleersnyder – Co-founder & Managing Partner applicatie beveiliging bij Toreon & co-project leider van het OWASP OpenSAMM project
Siebe De Roovere – Privacy en Informatieveiligheid Governance Expert bij Toreon

Deze heren komen op voor een betrouwbare digitale wereld door het integreren van GDPR principes in typische software ontwikkelingsactiviteiten. Bent u ook benieuwd hoe u op een praktische wijze 'privacy by design' kan combineren met uw 'SDLC'? Of hoe u objectief kan aantonen dat uw organisatie voldoet aan de 'privacy by design' requirements? Kom dan zeker langs op het Privacy Café en terwijl u geniet van een frisse versnapering leert u hoe uw DPO en ontwikkelaars binnenkort de beste vrienden worden.

Het concept

Doorheen het jaar nodigt DPI gasten uit om te praten over zijn of haar job als Data Protection Officer. We gaan in op best practices en hinderpalen in het uitwerken van een privacy beleid, de impact van de nieuwe Europese verordening op zijn/haar organisatie of gewoon een kritische blik op de actualiteit. Tijdens en na de presentatie volgt een gezellige receptie. De uitstekende gelegenheid om te netwerken tussen collega’s.

Doelgroep

Het Privacy Café wil een ontmoetingsplaats creëren voor professionals die bezig zijn met GDPR, zodat ze er elkaar kunnen en durven vragen stellen. In eerste plaats nodigen we uiteraard de Alumni uit van het Data Protection Institute. Echter, iedereen geboeid door en werkzaam met deze materie, is meer dan welkom.

Let op! Aantal deelnemers beperkt tot 75!

Inschrijven is kosteloos, maar uw inschrijving is pas geldig na ontvangst van een bevestigingsmail. Deze vindt u terug in uw mailbox ten laatste 5 dagen na inschrijving.

Locatie

De Foyer van ’t Arsenaal, Hanswijkstraat 63 in Mechelen.

Klik hier voor de routebeschrijving

Download de presentatie's

DOWNLOAD TOREON
DOWNLOAD SENTIANCE

Planning

  • Ontvangst 17u30 (ingang via Kruidtuin)
  • Eerste lezing: 18u00-19u00
  • Tweede lezing: 19u00-20u00
  • Afsluitende receptie: 20u00

Privacy Café 8 Februari 2017

Thomas More Campus De Vest, Zandpoortvest 60 in Mechelen

Spreker van vanavond

Philippe De Backer – Staatssecretaris Bestrijding Sociale Fraude, Privacy en Noordzee. Op zijn website lezen we een wijze spreuk van Einstein: "Alles dat werkelijk groots en inspirerend is, is gecreëerd door een individu dat kon werken in vrijheid”. Vrijheid van denken en handelen is net dat wat de GDPR wil bewaken in de omgang met persoonsgegevens. Vandaag staat de Staatssecretaris voor de uitdaging om ons land te begeleiden bij de invoering van nieuwe regels die ons als vrij persoon moet beschermen in de digitale economie. Benieuwd naar de visie van Dhr. De Backer over de invoering van de GDPR? Kom dan zeker langs in ons café, wij zorgen voor een frisse pint!

Het concept

3 maandelijks nodigt DPI een gast uit om te praten over zijn of haar job als Data Protection Officer. We gaan in op best practices en hinderpalen in het uitwerken van een privacy beleid, de impact van de nieuwe Europese verordening op zijn/haar organisatie of gewoon een kritische blik op de actualiteit. Tijdens en na de presentatie volgt een unieke receptie met een verrassend themadrankjes. De uitstekende gelegenheid om te netwerken tussen collega’s.

Vereiste voorkennis

We gaan er van uit dat u kennis heeft van de basisbeginselen van de huidige privacywet en noties van de wijzigingen in de nieuwe Europese Verordening. Wilt u wat achtergrond? Kom dan naar onze GDPR trainingen

Locatie

Thomas More Campus De Vest, Zandpoortvest 60 in Mechelen.

Let op! Aantal deelnemers beperkt tot 75! Inschrijving geldt pas als je ook effectief een bevestigingsmail ontvangt. Ontvang je die niet? Best de inschrijving nog eens doen of je SPAM folder controleren.

Dit event is een samenwerking tussen Thomas More en DPI

tm_logo_oranje_web

Download de presentatie

DOWNLOAD

Planning

  • Ontvangst 17u30
  • Lezing: 18u00-19u30
  • Afsluitende receptie: 19u30

Jouw bedrijf of vacature promoten op ons Privacy Cafe, klik hier.

Privacy Café 14 December

Thomas More Campus De Vest, Zandpoortvest 60 in Mechelen

Spreker van vanavond

Erik Luysterborg– Partner in charge of the IT, E-Commerce and Electronic Financial Services Law Group (ITEC Group) within Deloitte Enterprise Risk Services in Europe. Erik will give us a practical insight in privacy by design. Privacy by Design” entails a number of principles, tools and procedures that should be applied from the start when upgrading or implementing personal data processing systems in order to achieve data protection compliance. However, these principles remain rather vague and leave many open questions about how to implement such principles in a real life business environment. During this hands-on presentation Erik will show you, in a practical way, how to embed privacy requirements in the standard software development lifecycle and how the reuse of technology components can create efficient cooperation between the legal departments and software development factories. As a practical example, Erik will demonstrate how good customer identity management can be established by combining technology components and software design processes, thereby significantly decreasing the risk of data leakage and at the same time building trust amongst your customers (and regulators).

Het concept

3 maandelijks nodigt DPI een gast uit om te praten over zijn of haar job als Data Protection Officer. We gaan in op best practices en hinderpalen in het uitwerken van een privacy beleid, de impact van de nieuwe Europese verordening op zijn/haar organisatie of gewoon een kritische blik op de actualiteit. Tijdens en na de presentatie volgt een unieke receptie met een verrassend themadrankjes. De uitstekende gelegenheid om te netwerken tussen collega’s.

Vereiste voorkennis

We gaan er van uit dat u kennis heeft van de basisbeginselen van de huidige privacywet en noties van de wijzigingen in de nieuwe Europese Verordening. Wilt u wat achtergrond? Kom dan naar onze GDPR trainingen

Locatie

Thomas More Campus De Vest, Zandpoortvest 60 in Mechelen.

Let op! Aantal deelnemers beperkt tot 75! Inschrijving geldt pas als je ook effectief een bevestigingsmail ontvangt. Ontvang je die niet? Best de inschrijving nog eens doen of je SPAM folder controleren.

Dit event is een samenwerking tussen Thomas More en DPI

tm_logo_oranje_web

Download de presentatie

DOWNLOAD

Planning

  • Ontvangst 17u30
  • Start lezing deel 1: 18u00-18u45
  • Pauze inclusief broodjes
  • Start lezing 2: 19u15-20u00
  • Afsluitende receptie: 20u00

Privacy Café 16 april 2016

Onder andere volgende topics en vragen werden verder uitgediept:

Bovenstaande kadert in het licht van best practices en hinderpalen bij het uitwerken van een privacybeleid binnen een organisatie of bedrijf, rekening houdend met de impact van de nieuwe Europese verordening. De praktijkervaringen en ‘war-stories’ die gedurende deze avondsessie op tafel gelegd werden, toonden niet alleen aan voor welke uitdagingen bedrijven vandaag de dag staan, maar ook dat er over de gedachte ‘privacy op de werkvloer’ diverse standpunten heersen. Zo kunnen we enerzijds een houding onderscheiden van mensen die privacy op de werkvloer als irrelevant beschouwen, met andere woorden, hetgeen een werknemer uitvoert als professioneel goed aanzien en daarbij van mening zijn dat dit bekeken mag worden, end of story. Omgekeerd bestaat er ook een groep die zegt: “we mogen anderen niet controleren, we mogen e-mail en surfgedrag niet bekijken als we niet in het bezit zijn van een voorafgaande toestemming”. Vanuit een realistische en praktische visie zijn dat uiteraard standpunten die extreem zijn en die niet meer bij onze tijdsgeest passen.

Zoals eerder werd vermeld, wordt de kloof tussen werk en privé hedendaags steeds kleiner, hetgeen op zich ook geen probleem hoeft te zijn, maar niet per definitie wil zeggen dat privacy ook een absoluut recht is geworden op de werkvloer. Hierbij is Hans Graux van mening dat de kernboodschap moet zijn, dat bedrijven en werknemers in hun policies streven naar een gemeenschappelijk standpunt, een common ground waarbij naar een evenwicht gezocht wordt. Zelf kan hij zich beroepen op hetgeen hij persoonlijk heeft mogen ervaren en op elementen vanuit rechtszaken, hetgeen hij in zijn uiteenzetting opsplitste in een aantal concrete cases.

Een eerste case handelt over een werkgever die één van zijn werknemers er op betrapte in het bijzonder productief te zijn. Na de werkuren werden de activiteiten van de werknemer bekeken door een nadere analyse van zijn werkcomputer en kwam men een zeer grote hoeveelheid pornografisch materiaal op het spoor. Hieruit bleek dat deze persoon meer dan de helft van zijn werkdag bezig was met het bekijken van dergelijke websites en in totaal 2,5 miljoen pornografische afbeeldingen en video’s had bewaard. Interessant om eens over na te denken dus hoe hier gepast mee omgegaan kan worden, alsook in het verlengde daarvan in het kader van de hele ‘BYOD’ (Bring Your Own Device) problematiek. Merk op dat in die context, wat er op een harde schijf staat vandaag de dag niet veel meer zegt. In tijden van steaming data is het eerder gebruikelijk om te gaan kijken naar de data-traffic; het communicatieverkeer. Van werknemers die zich tijdens de werkuren bezighouden met dergelijke buitensporigheden, gaat het immers opvallen dat ze meerdere gigabytes aan data verzetten terwijl hun collega’s bijvoorbeeld met 500 megabyte per maand voldoende hebben.
Maar hoe zit dat nu eigenlijk juist met privacy op de werkvloer? Voor veel mensen blijkt dit een vreemd en niet zo evident begrip te zijn. In onze wetgeving maakt men duidelijk onderscheid tussen regelgeving voor werknemers, aannemers en onderaannemers wat juridisch een heel belangrijk onderscheid is, hetgeen hem zit in het feit dat de werkgever het recht heeft een bepaald toezicht ten aanzien van zijn werknemers uit te oefenen. Uiteraard wil dit niet zeggen dat de ene heel sterk een privacy-bescherming geniet en de andere helemaal geen. Wat dit wel impliceert is dat een werknemer standaard bepaalde inbrengen in zijn privacy moet dulden en het gemakkelijker getolereerd wordt dat zijn activiteiten in de gaten gehouden worden. Bij aannemers en onderaannemers is het daarentegen belangrijk om hierover expliciete afspraken te maken. Doet men dat niet, dan geldt gewoon standaard de privacywetgeving. Op die manier wordt het bijgevolg tamelijk moeilijk om die mensen in de gaten te houden en te evalueren. Dat houdt dus ook in dat als je in een organisatie werkt waar bijzonder veel (onder)aannemers gebruik mogen maken van de netwerkinfrastructuur, het van belang is om in overeenkomsten vast te leggen wat er geëvalueerd mag worden en op welke manier. In dergelijke gevallen is het dus veel belangrijker om bindende afspraken te maken.

In de werksfeer, specifiek voor werknemers, onderscheiden we een aantal belangrijke zaken die in de praktijk regelmatig bestudeerd worden. Een eerste belangrijk arrest dateert van 1992 voor het Europees hof van de rechten van de mens waar de vraag gesteld werd in welke mate men in een ruime context recht had op privacyschending. Binnen deze case behandelde de Duitse advocaat Niemietz een dossier voor één van zijn cliënten, Wegener genaamd. Deze laatste was actief in een vrijzinnige vereniging tegen alle vormen van religiositeit. Op een gegeven moment werd een huiszoeking gedaan bij advocaat Niemietz. Door middel van deze huiszoeking hoopten de autoriteiten meer over Wegener te weten te komen. Niemietz was het echter niet eens met de doorzoeking van zijn kantoor. Hierbij oordeelde de rechtbank dat het recht op privacy niet opgeschort wordt in de professionele context en dit met als grondreden dat het voornamelijk in die professionele context is dat mensen een groot deel van hun tijd doorbrengen, hun persoonlijke relaties en contacten uitbouwen. Uitgangspunt hierbij was, om niet gewoon per definitie het standpunt in te nemen dat in een professionele context privacy niet meer bestaat.

Een ander interessant en recent arrest dat dateert van 12 januari 2016 is de zaak Barbulescu tegen Roemenië waarbij het Europees Hof voor de Rechten van de Mens (EHRM) een uitspraak diende te doen. Een Roemeense werknemer had Yahoo Messenger op zijn werkcomputer geïnstalleerd en werd betrapt op het chatten met zijn verloofde en zijn broer. Hij werd daarvoor ontslagen omdat er in dit geval een heel duidelijke policy was binnen het bedrijf. Kortom, dit is een voorbeeld waar men wel het harde standpunt innam en zei: “werkapparatuur is werkapparatuur en mag niet gebruikt worden voor privédoeleinden, zonder uitzonderingen”.

Barbulescu was het daar niet mee eens en beriep zich op zijn recht op privacy. Het hof van justitie oordeelde hierbij dat het allemaal zo extreem niet was en een werkgever wel degelijk een dergelijk verbod kan opleggen en dat het niet kan opgelegd worden dat een werkgever privé-communicatie nooit mag verbieden. Het is wel degelijk mogelijk om op te leggen dat geen enkele vorm van privé-communicatie toegelaten is. In de praktijk komt dit laatste niet vaak meer voor en houden veel bedrijven er rekening mee dat er zaken zoals homebanking gebeuren. Men kan dus stellen dat er een zekere tolerantie gegroeid is, maar juridisch gezien is het zeker nog toegelaten om binnen een bedrijf absoluut verbod op te leggen wat privé-communicatie betreft. In België zijn de voornaamste regelgevingen waar men rekening mee dient te houden bij de bescherming van persoonlijke gegevens op het werk, enerzijds de privacywetgeving en anderzijds CAO81. Binnen de privacywetgeving (hetgeen in de toekomst de GDPR gaat worden) moet men ervoor zorgen dat, als men persoonlijke gegevens inzamelt, men rekening houdt met bijvoorbeeld het finaliteits- en proportionaliteitsbeginsel alsook dat men transparant communiceert naar de werknemers toe. Anderzijds speelt CAO81, dewelke specifiek handelt over de bescherming van elektronische online communicatiegegevens, hier ook een belangrijke rol. Deze gaat zowel over e-mailverkeer als over surfen naar websites en impliceert voornamelijk documentatie over hoe regels van de privacywet moeten toegepast worden in die specifieke context, nl de bescherming van arbeidsrecht. De voornaamste verplichting van die CAO is dat organisaties een policy moeten hebben die vooraf wordt meegedeeld aan werknemers, waarin men duidelijk stelt wat men gaat doen, welke controles men gaat uitvoeren, voor welke doeleinden en welke gevolgen men daaraan gaat geven. Deze CAO is explicieter in die zin dat er een opsomming bestaat van een aantal redenen waarom men communicatie mag monitoren in de praktijk. Vier specifieke redenen waarbij men online communicatie mag monitoren zijn:

  • Voorkomen van strafbare feiten;
  • De goede werking van de ICT-infrastructuur bewaken;
  • Het laten handhaven van de gedragscodes;
  • Beschermen van het economische en maatschappelijke belang van de onderneming.

In de praktijk moet dus, om een acceptabele policy uit te werken, duidelijk gecommuniceerd worden welk van die 4 redenen wordt gehanteerd om welk soort communicatie in de gaten te houden. In realiteit zien we heel vaak een ‘copy/paste’ van de CAO, niemand is daar creatief in. Uiteraard mag men hier ook het proportionaliteitsmechanisme niet uit het oog verliezen. Het is niet omdat iets is toegelaten onder een policy, dat je zomaar alles mag doen en daarbij alle mogelijke communicatie systematisch in de gaten mag houden. Je moet effectief evalueren of er een reden is, met andere woorden of er een concrete aanleiding is om gedrag van mensen te controleren. Het gaat dus niet op om vanuit drijfveren als nieuwsgierigheid, het doen en laten van mensen gedurende de hele dag op te volgen, er moet effectief wel een gegronde reden zijn. Ook belangrijk wanneer men tot dergelijke procedures van monitoren overgaat, is dat men moet aangeven binnen de policy hoe lang men die gegevens gaat bewaren. Wat niet in de policy hoeft te staan maar ook belangrijk is, is het bepalen van een aanpak binnen een organisatie van wat men concreet gaat doen als een inbreuk wordt vastgesteld. Het is niet zo eenvoudig om te zeggen: “we merken dat deze persoon niet veel presteert, we gaan even de logfiles bekijken,…”. Zoals bovenstaand eerder werd vermeld, bestaan er specifieke procedures die worden voorgeschreven door CAO81.

Kort samengevat, komt het er op neer dat men een bepaalde escalatieprocedure dient te volgen waarbij men niet meteen naar het zwaarste wapen (ontslag van de betrokkenen) zal grijpen. In de praktijk gaat men dus meestal niet onmiddellijk tot individualisering overgaan. Met een algemene waarschuwing of mededeling in de vorm van “We merken dat een aantal personen het niet zo nauw nemen met hun surfgedrag,..” bereikt men vaak al het gewenste effect. Als men toch merkt dat het probleem zich blijft voordoen, dan mag men overgaan naar individualisering en mensen rechtstreeks aanspreken. In principe dient men eerst een overlegmoment met vertegenwoordigers van de werknemers in te bouwen, alvorens rechtstreeks een individuele medewerker aan te spreken, hetgeen men beschrijft als een indirecte individualisering. Ook zijn er gevallen waarbij dat overleg niet nodig is. Wanneer men specifiek wil optreden tegen strafbare feiten, duidelijke overtredingen tegen de gedragscode constateert of wanneer het nodig is om economische belangen van het bedrijf te behartigen, mag men rechtstreeks de werknemer bij zich roepen en een dialoog voeren, aangeven wat men vaststelt en vragen of de persoon in kwestie daar een uitleg voor heeft. Het is pas nadat dit gesprek is gevoerd, dat men effectief actie mag ondernemen. Veel bedrijven stellen eerst vast dat er een probleem is en merken dan dat er geen policy is, wat ze vervolgens in de praktijk moeten doen is zorgen dat er policy is en die van kracht verklaren.

De tweede case van de avond is gerelateerd aan de diefstal van gegevens met een scenario waarbij V. het bedrijf verlaat en K. contacteert voor loongegevens. De case gekend onder ‘de zaak K.’ deed zich voor in 2004 te Brussel en is een tamelijk typische zaak in die zin dat het een probleem is waarmee organisaties regelmatig te maken krijgen. Persoon V. verlaat op gegeven moment zijn bedrijf, verlaat de werkgever en wil voor een concurrerende organisatie beginnen. Achteraf stuurt deze naar zijn collega een mail met de vraag om loongegevens te krijgen van de medewerkers van het bedrijf dat hij verlaten heeft, wellicht om die mensen een concurrentieel bod te kunnen doen. Echter werd binnen het bedrijf het mailverkeer gefilterd waarbij het mogelijk was om te zien wie er nog communiceerde met die persoon V. en meneer K. werd ontslagen. Er werd een procedure opgestart door meneer K. op basis van het argument dat zijn mailverkeer in de gaten gehouden werd, hij daarbij niet op de hoogte was en vond dat zijn privacy geschonden was. In dit geval heeft de heer K. effectief gelijk gekregen van de rechtbank. Men heeft hier het verdict van een onrechtmatig bewijs gesteld gezien er geen policy was binnen het bedrijf, men had daarover transparant moeten zijn. Kortom, een systematische controle zonder policy resulteerde hier in een onrechtmatig ontslag waarbij de beklaagde een vergoeding kreeg van 23.000 euro.

We kennen hier ook een vergelijkbare zaak, met een iets wat andere uitkomst, die zich afspeelde op 2 mei 2000 te Brussel, dewelke handelde over 2 collega’s die een affaire met elkaar begonnen en tijdens de werkuren bijzonder veel e-mails met elkaar gingen uitwisselen. Dit resulteerde onder andere in deadlines die werden gemist en projecten waarvan de kwaliteit zichtbaar achteruit ging. Ook hier werd er controle gedaan op het mailverkeer en werd opgemerkt dat er vooral veel privé-communicatie was tussen deze twee personen, waarbij men uiteindelijk is overgegaan tot het ontslag van één van deze personeelsleden. Hier oordeelde de rechter dat er een grondslag was voor ontslag onder de noemer van een ‘gewoonlijk voorkomende lichte fout’ maar zonder policy en systematische controles vooraf. Bovendien stelde hij de inbreuk op de privacy buitensporig, zo werd het proportionaliteitsbeginsel door de werkgever niet zo nauw genomen gezien lang nadat het probleem vastgesteld en duidelijk werd, hij nog steeds alle conversaties tussen beide personen verder bleef opvolgen. Dit resulteerde in een wederzijdse schadevergoeding waarbij de werkgever weliswaar tot de betaling van het hoogste bedrag werd veroordeeld. Interessante cases dus die bloot leggen waar de belangrijke punten en uitdagingen zitten.

Wat we hieruit kunnen onthouden, is dat er een expliciete policy moet bestaan dewelke vooraf gecommuniceerd dient te worden aan de werknemers. Dit mag onder de vorm van een bijlage bij een contract, communicatie via mail of op internet; men mag zelf een oplossing kiezen die gepast is. Achteraf bij controles, dient men onder andere het proportionaliteitsbeginsel te respecteren, indien men dit niet doet, kan dat veel geld gaan kosten.

Een interessant gegeven, aangereikt vanuit het publiek, is dat we hier duidelijk komen tot een dualiteit. In het ene geval, waar sprake is van een zware fout, wordt het bewijs door de rechter compleet buiten beschouwing gelaten waardoor het ontslag onrechtmatig wordt, terwijl hier de baseline is dat het ontslag rechtmatig wordt bevonden. Dit klopt, rekening houdende met wat we weten dat wanneer er geen policy is, de rechtsgeldigheid van bewijsmateriaal betwistbaar wordt; dat is de concrete maatregel die binnen voorgaande cases werd toegepast. Een zwart-wit regel bestaat niet, hetgeen men in de antigoonleer omschrijft als ‘bewijsrecht’, wat voor een nuancering zorgt. Dit hoeft niet per definitie in alle gevallen zo te zijn; een rechter mag rekening houden met de mate waarin de rechten van de partijen geschonden zijn, of die partijen nog recht hebben op een eerlijk proces als het bewijs nog zou worden toegelaten. Dit is ingebouwd om de eenvoudige reden dat het niet de bedoeling kan zijn dat een slimme advocaat erin slaagt om iemand, die duidelijk schuldig is, toch vrij te pleiten. De voornaamste lessons learned hierbij zien we in het feit dat je er best voor zorgt dat er policies zijn en er duidelijk over wordt gecommuniceerd; als dat niet zo het geval is speel je met vuur.

Een derde case is er één die ongetwijfeld voor een slechte nachtrust zorgt wanneer een personeelslid om 19.00 uur ’s avonds per ongeluk een foute mailinglijst aanroept waarbij een Excel-sheet in een mum van tijd naar het gehele bedrijf wordt verzonden en bij een tweeduizendtal collega’s in de mailbox belandt. Hierbij rijst meteen de vraag of de IT-verantwoordelijke de mails uit de inboxes mag halen voor de nieuwe werkdag aanbreekt?

Technisch gezien zou dat uiteraard perfect mogelijk zijn maar anderzijds geldt hier ook het spreekwoord ‘once the genie is out of the bottle,..’. Het wordt moeilijk om dit nog te verstoppen of te doen alsof er niets is gebeurd. Ook de post-factum communicatie is in deze van groot belang. Gezien het transparantiebeginsel belangrijk is, deed men er zeker goed aan om oprecht te zijn, temeer omdat bekend was dat een aantal werknemers het document reeds in hun bezit hadden, hetgeen de zaak toedekken onverstandig of zelfs onmogelijk maakte. Het gaat hier dus opnieuw over een interessant geval waarbij er sprake is van een eenvoudig foutje waardoor we even een inbreuk moeten maken op het telecommunicatiegeheim. Best-Practices in dergelijke gebeurtenissen vinden we in het inbouwen van beperkingen, het filteren van de toegang tot specifieke data en de manier waarop geëxporteerd wordt. Zo had deze werknemer maar van een beperkt aantal mensen uit bepaalde afdelingen gegevens nodig. We kunnen constateren dat wanneer je niet alle gegevens nodig hebt, je beter ver uit de buurt blijft van die ‘export all’-knop; het is vaak de gemakkelijkste oplossing maar naar privacy toe kan dit soms slecht aflopen. Dit zijn slechts enkele van vele voorbeelden die nuttig zijn om dieper over na te denken en die aantonen hoe je in de toekomst kan voorkomen dat een dergelijk of gelijkaardig incident zich herhaalt en hoe je de impact ervan kan reduceren.

Zo kan het ook voorkomen worden dat, in bepaalde vaak pijnlijke situaties, zich plots een specifieke aanpak opdringt; zoals bijvoorbeeld bij het overlijden van een medewerker na een auto-ongeval. Wat te doen met zijn mails, dossiers, computer… Hoe dienen we daar gepast mee om te gaan? Gedurende de avond konden we ontdekken dat hier meer bij komt kijken dan louter administratieve en juridische principes maar ook het ethische aspect de nodige aandacht vereist en in het bijzonder rekening moet worden gehouden met de nabestaanden. In de praktijk komt het ook voor dat bedrijven op dergelijke momenten constateren dat hun back-up procedures toch niet zo degelijk waren als ze oorspronkelijk dachten, dat bepaalde toegangen vereist werden om tot een aantal documenten te geraken waarbij enkele documenten niet recupereerbaar blijken. Mogelijk staat een gedeelte van de gegevens op de persoonlijke netwerkschijf en een ander gedeelte in de mailbox van de overleden werknemer, waarbij zich eventueel privézaken in die mailbox bevinden, waarbij het niet wenselijk is dat collega’s ze bekijken. Ook hier geldt dat er technisch heel wat mogelijk is zoals het resetten van wachtwoorden, toegang verkrijgen tot netwerkback-ups en mailboxen maar dat duidelijke interne afspraken en policies tot heel wat minder kopzorgen kunnen leiden.

De discussies omtrent deze materie brachten ons dan ook tot waardevolle inzichten, onder andere hoe een aantal bedrijven daar momenteel op inspelen, wat ze daarbij zeer goed doen of eerder beter kunnen afstemmen om conflicten in de toekomst te vermijden. Zo zien we ook dat er nuancering gemaakt kan worden wanneer het op de keuze van praktische acties neerkomt, zoals bijvoorbeeld het inzetten van een ‘out-of-office’ melding en de wijze waarop die heel concreet worden ingevuld. Juridisch is dit eenvoudiger dan je op het eerste zicht zou vermoeden. Zo is de privacywetgeving niet van toepassing op overledenen hetgeen ook zo zal blijven bij de GDPR. Het spreekt voor zich dat men een natuurlijke terughoudendheid in acht moet nemen bij het bekijken van dergelijke persoonsgegevens. De meeste organisaties gaan dat wellicht wel intuïtief doen maar het is het uiteraard niet waard om risico’s te nemen en men kan dus maar beter een proactieve houding aannemen. Daarbij is het ook zo dat het niet is omdat de privacywet strikt genomen niet van toepassing is dat men zomaar kan doen wat men wil met de gegevens van een overleden persoon.

Approaches waarbij de basisprincipes van privacy gerespecteerd worden, men neutraliteit tracht te waarborgen en extra controle-mechanismen inbouwt als daar zijn het ‘four-eyes principle’ verdienen de voorkeur en zijn enkele basisingrediënten bij het streven naar een aanpak waar ethische en privacygerelateerde belangen van het individu en businesscontinuïteit te verzoenen zijn. Heldere taal van Hans Graux gedurende de avond die ons meteen heel wat handvaten wist aan te reiken om dit in de praktijk om te zetten!