De dienst werk en inkomen van de gemeente Amsterdam mag niet zomaar in de mailbox van medewerkers kijken, las ik bij Nu.nl. Het besluit waarmee de dienst zich dat recht gaf, was in strijd met de Wet op de ondernemingsraden. Het kunnen inzien van mailboxen valt namelijk onder “personeelvolgsystemen” en voordat je dat mag doen, moet de ondernemingsraad toestemming geven.
Zoals tegenwoordig vrijwel elk bedrijf had ook deze overheidsdienst een protocol over toegang tot mailboxen. Eerst als onderdeel van de algemene Gedragscode Elektronische Communicatiemiddelen, maar nu gewijzigd. En die gewijzigde regeling verschilde op een belangrijk punt: waar vroeger (behalve bij vermoedelijke integriteitschendingen) alleen met toestemming in een mailbox mocht worden gekeken, mocht dat nu ook zonder toestemming wanneer bij ziekte of iets dergelijks bleek dat je geen collega gemachtigd had om in je mailbox te kunnen.
De OR heeft instemmingsrecht bij dergelijke gedragscodes en protocollen. De Wet Ondernemingsraad bepaalt namelijk dat dat dit recht bestaat bij alle verwerkingen van persoonsgegevens in het algemeen (en mail lezen valt daaronder) maar ook iets specifieker bij “waarneming van of controle op aanwezigheid, gedrag of prestaties” van groepen werknemers.
Viel dit protocol nu onder deze regeling? Het was immers bedoeld om bij ziekte het werk over te kunnen nemen, vanwege de naar buiten toe gestelde responstijd van 24 uur op alle mails van cliënten. Snel je cliënten van dienst kunnen zijn, dat is toch geen controle op werknemers?
De rechter vindt van wel:
Het besluit is niet gericht op die controle, maar kan er wel geschikt voor zijn. Bepaald niet uitgesloten is immers dat de manager, wanneer de medewerker een achterstand in werk blijkt te hebben, deze hier op aanspreekt. Daarmee is ook voldaan aan het criterium dat het moet gaan om ‘de prestaties’ van de medewerker.
Oftewel, de manager kan langs deze weg toevallig zien hoe iemand functioneert en daar dan iets mee doen. En vanwege die mogelijkheid tot controleren van prestaties had er instemming van de OR moeten worden gevraagd.
De rechter merkt daarbij op dat dit de eerste uitspraak van zijn soort is. Eerdere relevante jurisprudentie is er niet. Wel had hij nog het boek Inzicht in de Ondernemingsraad gevonden (en om raadselachtige redenen zijn de auteurs geanonimiseerd in het vonnis), waarin werd aangegeven dat het er niet om gaat of de systemen gebruikt wórden om personeel te volgen maar of ze daarvoor gebruikt kúnnen worden. Dus toch nog een soort van externe onderbouwing.
Voor de volledigheid wordt ook nog de privacy erbij gehaald, immers je mag (in beperkte mate) privé mailen vanuit die mailbox en het lezen daarvan door de manager is dan een verwerking van je persoonsgegevens. Dat is óók weer een reden waarom toestemming van de OR nodig was.
Op straffe van een dwangsom moet de dienst nu het protocol eerst aan de OR voorleggen, en mag men het pas invoeren na hun toestemming. En ik kan me zo voorstellen dat de OR nu enigszins kritisch zal staan tegenover het protocol.
Arnoud
Wat nu als het bedrijf door haar grootte geen OR heeft ? Toestemming van de PVT en als die er niet is van de individuele werknemers krijgen ?
“Dus toch nog een soort van externe onderbouwing.“
Mag dat? Het lijkt alsof de rechter hier zelf onderzoek heeft gedaan, in plaats van de argumenten van de partijen te wegen.
Overigens kunnen organisaties dit makkelijk ondervangen door functionele mailboxen te gebruiken, d.w.z. e-mailaccounts die gekoppeld zijn aan een functie in plaats van een persoon.
De vraag is dan weer of, wanneer een functionele mailbox feitelijk door een enkel persoon wordt gebruikt, zo’n mailbox niet een verkapte persoonlijke mailbox is.
@Branco, als ik uit het vonnis mag citeren:
En verderop in het vonnis stelt de rechter vast dat instemming wettelijk verplicht is (met een stukje eigen juridisch onderzoek).Ik kan niet voorspellen tot welke uitkomst het overleg met de ondernemingsraad leidt, “binnen 24 uur antwoord” is iets waar een OR achter kan staan; de manier waarop moet wel goed doordacht zijn.
@Eric: Of toestemming van het personeel nodig is, hangt af van de grondslag die het bedrijf wil gebruiken. De toestemming van de OR is een specifiek en apart geregeld iets (art. 27 Wor) die nodig is ongeacht of toestemming van het personeel nodig is.
De werkgever mag eenzijdig arbeidsinstructies stellen (art. 7:611 BW), bijvoorbeeld een internetreglement invoeren. Als de verwerking van persoonsgegevens binnen dat kader te rechtvaardigen is, dan is toestemming niet meer nodig want dan valt het binnen de noodzaak van uitvoering van de arbeidsovereenkomst (art. 8 sub b Wbp). Maar omdát het een verwerking is, is toestemming van de OR nodig.
@Branko: De rechter mag dit. Hij moet immers de juridische argumenten beoordelen en het wettelijk kader invullen om tot een uitspraak te komen. Zelf feiten erbij halen mag niet, zelf juridische onderbouwing erbij halen mag wel. Verder leest het vooral als een “het is zo, en trouwens [naam] en [naam] vinden het ook”. Dus een onderbouwing ten overvloede.
Ik vraag mij af hoe dit eigenlijk zit met email adressen die meer functie-gebaseerd zijn in plaats van persoons-gebaseerd. Een adres als wim@example.com hoort bij een persoon, maar adressen zoals admin@example.com, webmaster@example.com, sales@example.com, info@example.com, helpdesk@example.com enzovoorts behoren niet aan personen maar aan functies. Wat nou indien een klein bedrijf dus achter ieder zo’n email adres maar 1 werknemer heeft zitten?
En wat indien medewerkers binnen een bedrijf wel een persoonlijk email adres hebben, maar de mailserver dusdanig is ingesteld dat deze alleen voor interne communicatie bruikbaar is? Prive emailen kan dan nog wel, maar alleen naar medewerkers binnen hetzelfde domein…
P.s. voor eenieder die dat niet weet: Example.com is een dummy domeinnaam waarmee je kunt testen of waar je allemaal dummy email adressen voor kunt aanmaken. Heel handig, dus! Bovenstaande adressen zijn dus fictief!
Brengt ook een interessant onderwerp op: “werk” en “prive” mail. Het lijkt me voor bedrijven handig om daar altijd helderheid over te scheppen, bijvoorbeeld door werknemers te bewegen om onderscheid te maken. Arnout: zou de volgende regeling kunnen werken?
a) toestaan dat een prive email account ook vanaf de werkplek of door werkgever ter beschikking gestelde apparaten mag worden benaderd . Uiteraard met inachtneming van redelijkheid zoals hoeveelheid verkeer, tijdsbesteding voor prive zaken etc. b) Daarnaast ook toestaan dat het werk email account voor prive doeleinden wordt gebruikt. Maar, dat werknemer er dan wel mee instemt dat in geval van toegang van het werk account door een leidinggevende, die prive mailtjes in het zakelijke account dan wel door leidinggevenden etc kan worden ingezien. M.a.w. Als er voor de werknemer een goed alternatief is, dan zou de privacy kwestie geen rol meer mogen spelen, toch?
@wim: dat kan je natuurlijk makkelijk oplossen door personen een persoonlijk e-mail adres te geven, en vervolgens de functionele adressen als alias te gebruiken voor meerdere accounts. Iedereen binnen het bedrijf weet dan dat deze adressen toegangelijk zijn voor alle (relevante) werknemers, inclusief de baas dus. Eventueel kan men het explicieter maken door alle ontvangen mail te forwarden naar de persoonlijke adressen (maar dat is een beetje onhandig natuurlijk). Maar dat lijkt me nergens voor nodig.
Als je een “binnen een werkdag antwoord” garantie wil geven, dan moet je minstens twee werknemers per functie-adres hebben. Dat heeft als neveneffect dat het privé-gebruik van functie-adressen ontmoedigt.
Een “kleinigheid” die je als werkgever niet over het hoofd mag zien is dat sommige medewerkers (waaronder OR leden, vertrouwenspersoon seksuele intimidatie) een vertrouwensfunctie binnen het bedrijf hebben en dat hun mailbox zeer persoonlijke informatie kan bevatten.
@Rens van der Heijden, maar wat indien de werkgever helemaal niet wil dat werknemers prive gaan mailen met een adres dat bij de werkgever behoort? Een bedrijf met alleen functie-adressen moet toch kunnen? Wie prive wil mailen gebruikt de eigen prive-account maar. Google, Hotmail, Yahoo… Keuze zat…
@Michiel: Wat ik standaard als opties gebruik in ICT-reglementen: 1) Werknemer mag privémailen vanaf zakelijk adres (met beperkingen zoals “mits dit hetwerk niet hindert”) en dan een regeling over inzage in de mailbox 2) Werknemer mailt privé zo veel mogelijk vanaf een eigen adres, dat dan niet gemonitord wordt. Werkmail wordt vervolgens geacht zakelijk te zijn (evt ténzij per mailtje apart als privé gemarkeerd).
Ik denk dat beiden een goede balans kunnen bieden, en dat je als werkgever dus zelf vooral moet kiezen wat je uit wilt dragen.
@10; dan blijft er de vraag “Wat doen we met vertrouwensfuncties?” Mijn eerste suggestie zou zijn: gebruik een “functie-adres” (bedrijfsarts@example.com) en laat de “binnen een dag antwoord” toezegging vallen om betere privacy mogelijk te maken.
Meestal wordt in zulke reglementen bepaald dat de mailbox van de vertrouwenspersoon nooit ingekeken wordt, tenzij in heel dringende en bijzondere gevallen. En de situatie uit het vonnis lijkt me niet relevant voor de bedrijfsarts: die mailboxen waren voor klantenservicemensen, en er moest snel gereageerd. Zo’n situatie bestaat er niet voor bedrijfsartsen (en als het gaat om waarneming van elkaars werk dan kunnen ze dat onderling regelen met over en weer beroepsgeheim). Er is geen reden waarom een manager in de mailbox van een bedrijfsarts moet.
En een bonus-vraag: hoe zit het in het geval dat een werknemer komt te overlijden? Wie hebben daarna het recht om de mailbox in te kijken? De nabestaanden ook?
@Wim: Dat moet inderdaad onderdeel zijn van die regels. Je kunt niet zomaar zeggen “Inzage is toegestaan” en dan Jan en alleman laten snuffelen.
Een privacyverklaring/geheimhoudingsverklaring tekenen is niet nodig. Je bent als werknemer namelijk sowieso al gebonden aan geheimhouding voor niet-publieke zaken die betrekking hebben op het werk.
Ik heb nog nooit nagedacht over hoe het zit met nabestaanden van een werknemer. Ik zie niet echt een grond; het is niet zijn mailbox en privacy is persoonsgebonden.
Tja, de nabestaanden, he? Wel, als je prive mag mailen met een bedrijfs-adres dan staan er dus persoonlijke gegevens in zo’n mailbox. Gegevens die nabestaanden kunnen proberen te claimen bij overlijden van een werknemer. Dit kan voorkomen indien een werknemer prive wel heel veel emailde.
Maar goed, dit zal een extreem uitzonderlijke situatie zijn. Juridisch wel interessant maar of het ooit in de praktijk voorkomt? Denk niet dat de nabestaanden hier zelfs maar bewust van zijn dat de werknemer op zijn werk nog de nodige prive-gegevens in zijn mailbox heeft zitten. (Inlog-accounts voor websites, bijvoorbeeld.)
Overigens, privacy is er toch alleen voor de levenden? Wie dood is, heeft ook geen privacy meer, dacht ik… Zou de werkgever dus alsnog een mailbox kunnen bekijken zodra een werknemer is overleden? Want de privacy is dan weg, toch?
Sja, waarvoor wil je de werknemer beschermen? Gaat het om bv. sollicitaties via zakelijke mail laten lopen, of functioneren aantonen door reactiesnelheid te bekijken? Of heeft de werknemer zijn medische gegevens via de zakelijke mail lopen, om op die manier dingen voor moeder de vrouw te verbergen? Het is lastig om een regeling te bedenken, die overal recht aan doet. Je weet immers niet van te voren, waar je over X jaar tegenaan loopt. Als er een gemotiveerd verzoek van nabestaanden komt, om de mailbox in te zien, lijkt het me dat het bedrijf dan eerst die mailbox moet kunnen screenen op bedrijfsgeheimen. Maarja, dan heeft de familie die gegevens juist nodig om het bedrijf te beschuldigen van het veroorzaken van zelfmoord. Zo is er altijd wel een uitzondering op de uitzondering te bedenken.
Een goeie regeling beschermt de privacy van de werknemers in zoverre, dat zware privacyschendingen bestraft worden (het uitlekken van een (tot dan toe discrete) kantooraffaire, bijvoorbeeld), maar laat altijd de optie open, om in geval van duidelijke aanwijzingen te doen wat gedaan moet worden. Een van beide lovebirds krijgt opeens allerlei dure hotelovernachtingen goedgekeurd door de ander. Het voorbeeld wat ik hier geef, is lastig in een policy te verwoorden, maar lijkt mij wel reden om te controleren of de aanvrager en de goedkeurder niet toevallig afspreken bij dat hotel.
Ik ben zelf OR lid, en mijn haren gaan overeind staan als managers het nodig vinden om in de mailbox van hun werknemers te moeten kijken, om te zien of ze goed functioneren. Volgens mij functioneert die manager dan niet goed. 99% van de problemen is op te lossen door een 3e partij (vertrouwenspersoon, HR, systeembeheerder) te laten kijken en rapporteren naar beide partijen.
@Jasper: Een manager zou toch ook in een map op je bureau kunnen kijken om te zien hoe jij functioneert? Ik snap niet waarom dat dat niet met e-mail zou mogen. (even afgezien van het feit dat er vast effectiever manieren zijn om iemands functioneren te beoordelen). In die map op je bureau laat je ook geen privégegevens liggen, dus waarom dan wel in je e-mail? Inmiddels is het aantal mensen in Nederland met een eigen niet-werkgeversgebonden e-mailadres waarschijnlijk dusdanig groot dat men toch wel mag verwachten dat het niet meer nodig is om je werk e-mail voor privédoeleinden te gebruiken?
Ik vind het een prachtig voorbeeld van hoe de digitalisering de wetgeving heeft ingehaald. Vanuit de huidige situatie is het volkomen logisch en prima werkbaar dat iemand met e-mailtoegang op het werk gewoon zijn privéadres gebruikt voor privézaken.
@Bart, mag je manager (gesloten) enveloppen die in jouw postvak liggen open maken om te zien of jij je werk goed doet?
Bij organisaties die met privacy-gevoelige gegevens van klanten werken (en daar hoort een DWI ook toe) verwacht je dat dossiers alleen worden ingezien wanneer daar een goede reden voor is; het “zomaar” inkijken van een dossier dat op het buro van een collega ligt, kan reden zijn voor disciplinaire maatregelen. Ook een manager heeft daar rekening mee te houden. Slechte digitalisering (mengen van privé-post voor de medewerker met berichten van klanten die gevoelige informatie bevatten) creëert problemen die er vroeger niet waren, maar digitalisering biedt ook mogelijkheden om gegevens beter toegankelijk te maken; met een toegangscontrole die beter is dan een simpel slotje op een archiefkast.
Maar werknemers moeten gewoon aanleren om prive-mail gewoon op hun eigen email adres te doen en niet met de account die hun werkgever hen gaf. Bedenk namelijk dat als je je baan kwijtraakt, je ook meteen toegang tot die mailbox verliest en deze data misschien niet eens meer kan opvragen.
Een ander probleem wat eigenlijk niet besproken is, is dat werknemers op hun werk Outlook (of andere email client app) ook koppelen aan hun prive-account zodat ze daarmee ook hun prive-emails kunnen lezen. Als ik voor example.com werk, zou ik dan zowel emails van wim@example.com zien alsmede emails van prive@wimtenbrink.nl omdat ik dat zo heb ingesteld. Dan ben ik prive aan het emailen met mijn prive-account, maar die prive-mailtjes komen wel binnen op mijn werk, waar ze dus opgeslagen worden naast mijn werk-mails. Prive en werk gescheiden, maar ook weer tesamen…
Dat combineren van mail accounts zou je ook niet moeten doen. Ja, handig dat je in Outlook werk en prive kunt combineren, maar je werkgever heeft er dan in theorie ook toegang toe, ook al mag dat niet.
Ook zo onhandig: je webbrowser al je wachtwoorden laten onthouden. Je werkgever kan dan al je sites bekijken (facebook, twitter, webmail) zonder dat hij jouw wachtwoorden moet raden. Als je dan ook nog Google Chrome gebruikt dan kan via chrome://chrome/settings/passwords ook even een kopie van al je wachtwoorden worden vastgelegd. Doe dat op je werk en je maakt het een kwaadwillende werkgever of collega wel erg makkelijk.