Monitoring van e-mail- en internetgebruik door werknemers: enkele basisregels (her)bevestigd

dinsdag, 12 september 2017

Werkgevers controleren vaak het e-mailverkeer van hun werknemers. Daar kunnen zij tal van belangen bij hebben. Tegelijkertijd hebben werknemers, ook op de werkvloer, recht op het respecteren van hun privacy. Dit grondrecht en de uitwerking daarvan in onder meer de Wet Bescherming Persoonsgegevens (Wbp), noodzaken werkgevers tot het zorgvuldig toepassen van monitoring. Enkele belangrijke basisregels daarvoor, zijn recent nog eens bevestigd door het Europees Hof voor de Rechten van de Mens (EHRM).

Aanleiding uitspraak

In 2007 maakte een Roemeense werknemer voor privédoeleinden gebruik van zijn zakelijke Yahoo Messengeraccount. Elk privégebruik van onder meer dit Messengeraccount was door de werkgever verboden. Dat bleek uit een Policy, waarmee de werknemer bekend was. De werkgever ontdekte het privégebruik, omdat hij het gebruik van Yahoo Messenger monitorde. De werknemer werd geconfronteerd met een uitdraai van 45 pagina’s aan berichten. Vervolgens werd hij ontslagen wegens het privégebruik van een zakelijk account.

De werknemer doorloopt meerdere nationale procedures om zijn ontslag aan te vechten, waarbij hij zich onder meer beroept op de schending van zijn privacy. Hij wordt telkens in het ongelijk gesteld. Uiteindelijk stapt hij naar het EHRM. In deze procedure ging het niet om de rechtsgeldigheid van zijn ontslag, maar uitsluitend om de vraag of Roemenië (via de oordelen van haar rechters) de privacy van deze werknemer voldoende had beschermd.  

Uitspraak EHRM: basisregels voor monitoring werknemers

Het EHRM concludeert dat dit niet het geval is. Uit de uitspraak volgen enkele belangrijke basisregels- en uitgangspunten voor werkgevers bij het opstellen van regels voor e-mail- en internetverkeer en het controleren op naleving daarvan. Onder meer:

  • Het recht op respect voor het privéleven, familie- en gezinsleven, woning en correspondentie (het recht op privacy, zie 8 EVRM) strekt zich ook uit tot de werkvloer. De werkgever mag in zijn bedrijf regels invoeren die dit recht beperken – zoals restricties voor privégebruik van emailaccounts – maar kan dit recht niet tot nihil reduceren.
  • De werkgever moet een gerechtvaardigd belang hebben bij controle van de werknemer. Dat belang moet de controle en de wijze waarop die plaatsvindt rechtvaardigen in verhouding tot de inbreuk die op de privacy van de werknemer wordt gemaakt. Concreet:
    • de wijze van controle moet in verhouding staan tot het doel (eis van proportionaliteit)
    • het doel mag niet bereikbaar zijn op een wijze die minder inbreuk maakt op de privacy (eis van subsidiariteit) 
  • ​Ook weegt het EHRM mee of de werkgever wel een concrete aanleiding had voor het toepassen van de monitoring. EHRM oordeelt dat de doeleinden van de werkgever – het voorkomen van beschadiging van haar IT-systemen en/of aansprakelijkheid wegens illegale activiteiten online – zich slechts in theorie voordeden, omdat de werknemer geen enkele aanleiding had gegeven voor het vermoeden dat de werkgever aan deze risico’s zou zijn blootgesteld.
  • De werknemer moet voor aanvang van de controle in ieder geval worden meegedeeld:
    • dat en wanneer controle plaatsvindt of kan plaatsvinden, en
    • voor welke doeleinden dat gebeurt, en
    • hoe die controle plaatsvindt (wat wordt gecontroleerd en op welke wijze, waaronder of de werkgever de mogelijkheid heeft om de inhoud van berichten te lezen).

Deugdelijk e-mail en internetprotocol noodzakelijk voor werkgevers

De uitspraak van het EHRM onderschrijft de noodzaak voor werkgevers om een deugdelijk e-mail- en internetprotocol met gedragsregels voor werknemers op te stellen, waarin ook de (mogelijkheid tot) controle op e-mail- en internetverkeer aan de orde komt. In dit protocol dient in ieder geval rekening te worden gehouden met de basisregels zoals die hierboven zijn geschetst.

Het protocol en de wijze van controleren zullen echter ook moeten voldoen aan de verdere eisen uit de Wbp en, per 25 mei 2018, aan de Algemene Verordening Gegevensbescherming (AVG).

De AVG leidt tot strengere eisen op het gebied van onder meer de informatieplicht richting werknemers. Strenger dan die door het EHRM worden geschetst. Een protocol dat voldoet aan deze (strengere) eisen is noodzakelijk, mede gelet op de hoge boetes voor overtreding van de AVG. Ook werkgevers die op dit moment al een protocol hanteren, zullen dus moeten nagaan of dit protocol wel “AVG-proof” is.

In een volgend artikel zullen wij nader stilstaan bij onder meer de uitgebreide informatieplicht voor werkgevers onder de AVG.