Als werkgever kunt u verschillende redenen hebben om het e-mail- en internetgebruik van medewerkers te controleren. Zo kan er een concreet vermoeden zijn dat een werknemer bedrijfsgevoelige informatie doorspeelt aan een concurrent. Het kan ook voorkomen dat een werknemer in strijd met de interne regels buitensporig privé e-mailt of internet, en de werkgever dit gedrag wil aantonen. In veel bedrijven worden in- en uitgaande e-mails automatisch gecontroleerd op de aanwezigheid van gevoelige informatie en/of virussen en malware.

In deze gevallen is het uiteraard belangrijk dat u rekening houdt met het recht op privacy van de betrokken medewerkers. Het controleren van internetgebruik en lezen van e-mails van werknemers is niet zonder meer toegestaan.

In hoeverre mag u e-mail- en internetgebruik op het werk controleren? Met welke factoren moet u rekening houden? En wat zijn de gevolgen van een eventuele privacyschending op het werk?

Vooropgesteld zij dat werknemers op het werk tot op zekere hoogte een recht op privacy hebben. Dit recht strekt zich ook uit tot e-mailcorrespondentie en internetgebruik op het werk.

Zo heeft het Europees Hof voor de Rechten van de Mens (EHRM) in 2007 geoordeeld dat e-mails verstuurd vanaf het werk onder de bescherming vallen van het recht op privacy,[1] zoals dat verwoord is in het Europees Verdrag voor de Rechten van de Mens (EVRM).[2] Hetzelfde geldt voor informatie die kan worden afgeleid van privé internetgebruik op het werk.[3] Bijvoorbeeld welke sites een medewerker bezoekt, wat een werknemer op deze sites doet en hoeveel tijd hierop wordt doorgebracht, etc.

In de hiervoor genoemde zaak uit 2007 had de werkgever (een Engels onderwijsinstituut) gedurende enkele maanden telefoongesprekken, e-mails en internetgebruik van een medewerker gecontroleerd. De werkgever vermoedde namelijk dat de werknemer tijdens werktijd vooral voor privédoeleinden aan het bellen, mailen en internetten was. De werknemer was vooraf niet te kennen gegeven dat de werkgever haar telefoongesprekken, etc., kon monitoren. Volgens het EHRM had de werkgever hiermee het recht op privacy van de werknemer geschonden.

Dit betekent overigens niet dat het een werkgever per definitie verboden is om e-mails of internetgebruik te controleren. In hoeverre het recht op privacy strekt, is namelijk altijd afhankelijk van de omstandigheden van het geval. Daarbij is van groot belang of de werknemer vooraf in kennis is gesteld van het feit dat zijn e-mails en internetgedrag gemonitord kan worden. Zo ja, dan kan een werknemer er doorgaans niet vanuit gaan dat bijvoorbeeld een privémail verzonden vanaf zijn zakelijke mailadres altijd als zodanig – vertrouwelijk dus – zal worden behandeld.

In de praktijk is het niet altijd even duidelijk in hoeverre een werknemer ´geïnformeerd´ is over het feit dat zijn persoonsgegevens c.q. gedrag op internet wordt gecontroleerd. Dit blijkt onder meer uit een uitspraak van het EHRM uit in 2017. [4] In deze zaak had een werkgever gedurende een periode van 9 dagen het internetgebruik van een werknemer gecontroleerd. Uit dit onderzoek had de werkgever geconcludeerd dat de werknemer tijdens werktijd voor privédoeleinden had geïnternet via Yahoo Messenger. Hiermee geconfronteerd, stelde de werknemer dit account alleen voor zakelijke doeleinden te hebben gebruikt. De werkgever liet vervolgens 45 pagina´s aan chatgeschiedenis zien waaruit bleek dat de werknemer tijdens werktijd met zijn broer en verloofde had gecorrespondeerd over persoonlijke zaken. De werknemer werd vervolgens ontslagen.

Hoewel de werkgever in deze zaak privégebruik van internet tijdens werktijd duidelijk had verboden én de werknemer ermee bekend was dat een andere werknemer eerder om deze redenen was ontslagen, oordeelde het EHRM toch dat de werkgever de privacyrechten van de werknemer had geschonden. De werkgever had privégebruik van internet weliswaar verboden, maar volgens het EHRM kan een werkgever de privacy op de werkplek niet ´tot nul reduceren´ door privégebruik van communicatiemiddelen volledig te verbieden.[5] Verder was de werknemer er niet vooraf op gewezen dat zijn gebruik van Yahoo Messenger zou worden gecontroleerd.[6] De inbreuk op het privacyrecht van de werknemer kon volgens het EHRM dus niet gerechtvaardigd worden.[7]

`… volgens het EHRM kan een werkgever de privacy op de werkplek niet ´tot nul reduceren´ door privégebruik van communicatiemiddelen volledig te verbieden.´

Bovenstaande cases laten zien het controleren van e-mail- en internetgebruik niet per definitie in strijd is, maar wel kan zijn met het recht op privacy. Maar hoe kunt als werkgever nu bepalen of de door u voorgenomen maatregel – bijvoorbeeld het tijdelijk observeren van een werknemer zijn internetgebruik – is toegestaan?

Hierbij zijn in ieder geval de volgende factoren van belang:[8]

1. Is de werknemer er vooraf van op de hoogte gesteld dat zijn correspondentie en communicatie wordt c.q. kan worden gecontroleerd? Denk hierbij bijvoorbeeld aan een intern reglement over het gebruik van e-mail en internet op het werk. Belangrijk is natuurlijk wel dat dit duidelijk gecommuniceerd wordt en consequent wordt gehandhaafd.
2. Hoe ver gaat de controle en in hoeverre wordt hierbij inbreuk gemaakt op de privacy van de werknemer? Er is bijvoorbeeld een verschil tussen het vastleggen van de tijden waarop privé wordt gemaild (niet zo ingrijpend) en het daadwerkelijk lezen van de inhoud van de e-mails (zeer ingrijpend). Hoe lang wordt de werknemer gemonitord? En wie heeft toegang tot de resultaten van het onderzoek?
3. Hebt u als werkgever gegronde redenen en is het noodzakelijk om het e-mail- en internetgebruik te controleren? Een werkgever kan bijvoorbeeld zijn IT-systemen willen beschermen en/of willen voorkomen dat hij aansprakelijk wordt gesteld ingeval illegale activiteiten worden verricht. Bescherming van bedrijfsgeheimen kan ook een gegronde reden zijn, mits de werknemer ook daadwerkelijk de beschikking heeft over vertrouwelijke bedrijfsinformatie.
4. Zijn er minder ingrijpende methoden en maatregelen voorhanden om het beoogde doel te bereiken? Om aan te tonen dat een werknemer veelvuldig privé correspondeert op het werk, zou bijvoorbeeld al voldoende kunnen zijn een overzicht waaruit blijkt hoe vaak en met wie de werknemer gedurende een bepaalde periode heeft gecorrespondeerd. Het is dan in principe niet nodig om iedere mail afzonderlijk nog een keer te bestuderen.
5. Wat zijn de gevolgen voor de werknemer? Hierbij is onder meer van belang of de resultaten van het onderzoek uiteindelijk worden gebruikt voor het beoogde doel (zie punt 3 hiervoor). Controleert een werkgever mailverkeer om te verifiëren of bedrijfsgeheimen zijn gelekt, maar blijkt dat niet het geval te zijn, dan kunnen de onderzoeksresultaten in principe niet worden gebruikt om aan te tonen dat de werknemer bijvoorbeeld wel heel veel privé correspondeert tijdens werktijd.
6. Welke waarborgen hebt u getroffen met het oog op privacy? In de hiervoor besproken zaak werd het bijvoorbeeld van belang geacht of de werkgever de 45 pagina´s chatgeschiedenis al voorhanden had vóórdat de werknemer werd gevraagd naar het privégebruik tijdens werktijd. De rechter suggereert dat de chatgeschiedenis pas gelezen had mogen worden nadát de werknemer het privégebruik had ontkend.

Neem bijvoorbeeld een zaak die in 2016 speelde bij het hof Den Haag.[9] De werknemer in kwestie had (tijdens haar ziekte) vertrouwelijke bedrijfsinformatie aangaande haar werkgever via haar zakelijke telefoon opgeslagen op een privé Dropbox-account. Het ging om jaarstukken, loonstroken van de directeur, bankafschriften van het bedrijf en een e-mail over de re-integratie van de werknemer.

Toen de werkgever hierachter kwam, werd de werknemer op staande voet ontslagen, niet alleen voor het privé opslaan van de stukken, maar ook omdat zij deze stukken volgens de werkgever alleen had kunnen verkrijgen door in het e-mailaccount van de directeur in te loggen, wat haar niet was toegestaan.

Het hof achtte het ontslag op staande voet ongeldig.[10] Dit omdat de stukken ´enige tijd vrijelijk beschikbaar waren voor medewerkers´ van de werkgever, en (dus) niet vaststond dat de stukken waren verkregen via het e-mailaccount van de directeur, aldus het hof.[11] De werkgever werd vervolgens veroordeeld tot betaling van een vergoeding aan de werknemer, niet alleen vanwege het onterechte ontslag, maar ook vanwege het schenden van haar privacy. De werknemer was er namelijk niet vooraf van op de hoogte gesteld dat de werkgever haar (privé) Dropbox-account zou gaan inzien. Er was bovendien geen concreet vermoeden dat de werknemer onrechtmatig c.q. in strijd met haar verplichtingen had gehandeld. Verder had de werkgever de zakelijke telefoon onder valse voorwendselen en zonder vooraankondiging ingenomen (de werknemer had 15 minuten de tijd gekregen om privébestanden en -foto´s te wissen).[12]

De werkgever werd vervolgens veroordeeld tot betaling van een vergoeding aan de werknemer, niet alleen vanwege het onterechte ontslag, maar ook vanwege het schenden van haar privacy´

In een andere zaak, waarin eerder dit jaar uitspraak is gedaan,[13] werd het controleren van het e-mail- en internetgebruik van de werknemer wel toelaatbaar geacht. In deze zaak bestond het vermoeden dat de werknemer tijdens werktijd buitensporig veel tijd besteedde aan zijn eigen onderneming (een webshop). Naar aanleiding hiervan werd een onderzoek verricht door een externe bedrijfsrechercheur. Hieruit bleek o.a. dat de werknemer de afgelopen 2 jaar voor zijn webshop structureel mails had verstuurd en ontvangen op zijn werk, de administratie hiervoor had opgeslagen op de server van de werkgever, en daarnaast illegale bestanden had gedownload.

De werknemer stelde dat zijn privacy was geschonden, mede omdat hij niet vooraf op de hoogte was gesteld van het onderzoek, maar dat argument ging bij de rechter niet op. In de uitspraak wordt deze beslissing overigens niet verder toegelicht, maar ik kan mij voorstellen dat de werkgever in deze kwestie wél een concreet vermoeden had dat de werknemer buitensporig veel privézaken regelde op het werk. Anderzijds had het m.i. wel voor de hand gelegen om de werknemer eerst aan te spreken op zijn gedrag, alvorens een extern onderzoek te laten verrichten.

De AVG is vorig jaar van kracht geworden en heeft de Wet bescherming persoonsgegevens (Wbp) vervangen. In de AVG zijn gedetailleerde regels opgenomen voor het verwerken van persoonsgegevens. Zo is in de AVG bepaald onder welke voorwaarden een verwerking rechtmatig is – hiervoor zal bijvoorbeeld altijd een van de in de AVG genoemde wettelijke grondslagen aanwezig moeten zijn.

In de AVG zijn daarnaast regels opgenomen over de informatie die aan de betrokkenen moet worden verstrekt, wat de rechten zijn van betrokkenen, hoe persoonsgegevens moeten worden beveiligd, hoe lang deze mogen worden bewaard, etc.

De AVG is uiteraard ook van toepassing op het controleren van e-mail- en internetgebruik van werknemers. Zie hiervoor ook de website van Autoriteit Persoonsgegevens (de Nederlandse privacytoezichthouder). De Artikel 29-werkgroep, een Europees adviesorgaan op het gebied van gegevensbescherming, heeft in 2017 bovendien een interessante opinie gepubliceerd over het verwerken van persoonsgegevens in de context van een arbeidsrelatie.[14] Hierbij wordt uitdrukkelijk ingegaan op het controleren van e-mail- en internetgebruik.

Kijkend naar de gepubliceerde rechtspraak, wordt in arbeidszaken nog relatief weinig een beroep gedaan op de AVG (alsmede de voorganger de Wbp). Nu zal een verwerking van persoonsgegevens die conform de Grondwet en het EVRM is, doorgaans niet in strijd zijn met de regels die voortvloeien uit de AVG. Maar geheel uitgesloten is dat niet. Zo heeft de Autoriteit Persoonsgegevens het standpunt ingenomen dat het afnemen van alcohol- en drugstesten op het werk volgens de AVG alleen is toegestaan als daar specifieke wetgeving voor is (zoals in de luchtvaart). Dit terwijl dergelijke testen ook zónder dergelijke wetgeving met regelmaat toch rechtsgeldig worden geacht. Zie hierover mijn blog van 30 april 2018.

Staat vast dat sprake is (geweest) van een privacyschending, dan kan dat verschillende consequenties hebben. Zo kan de werkgever worden veroordeeld een (schade)vergoeding te betalen aan de werknemer wegens het schenden van zijn privacy. In de hiervoor genoemde zaak bij het hof Den Haag (uit 2016) betrok de rechter het schenden van de privacy bij de bepaling van de hoogte van de aan de werknemer toekomende ´billijke vergoeding´.[15] Maar het kan ook voorkomen dat de werkgever wordt veroordeeld tot betaling van een immateriële schadevergoeding aan de werknemer (een vergoeding voor, kort gezegd, niet-financiële schade).[16]

Verder kan een rechter het bewijs dat door middel van de privacyschending is verkregen, buiten beschouwing laten, maar dat gebeurt in de praktijk maar zelden. In Nederland kennen wij namelijk de zogenoemde ´vrije bewijsleer´,[17] die met zich brengt dat ook onrechtmatig verkregen informatie als bewijs kan dienen.[18] Het algemene maatschappelijk belang dat de waarheid in rechte aan het licht komt en het belang van partijen om hun stellingen in rechte aannemelijk te kunnen maken, wegen doorgaans zwaarder dan het recht op privacy. Maar in sommige gevallen laten rechters het onrechtmatig verkregen bewijs wel buiten beschouwing.[19]

Ook kan een werknemer die meent dat zijn of haar privacy is geschonden, hiervan een melding doen bij de Autoriteit Persoonsgegevens (AP). De AP kan daarna een onderzoek verrichten en zo nodig corrigerende maatregelen treffen, zoals het geven van een waarschuwing of berisping, het opleggen van een last onder dwangsom of het opleggen van een boete.[20]

In de hiervoor besproken voorbeelden ging de werkgever telkens bewust en doelgericht het e-mail- en/of internetgebruik van de betrokken werknemer controleren naar aanleiding van een (al dan niet terecht) concreet vermoeden dat er iets niet in de haak was. Maar hoe zit het nu als een werkgever gebruik maakt van een systeem waarbij automatisch in- en uitgaande e-mails worden gecontroleerd, zonder dat er een concreet vermoeden is dat een werknemer iets verkeerd heeft gedaan?

Denk hierbij bijvoorbeeld aan firewalls en data loss prevention (DLP) tools.

In zijn opinie van 8 juni 2017 gaat de Artikel 29-werkgroep, een Europees adviesorgaan op het gebied van gegevensbescherming,[21] hier op in.[22] De werkgroep geeft aan dat nieuwe technologieën het mogelijk maken om in steeds verder gaande mate gedrag van werknemers te controleren. Zo noemt de werkgroep de zonet al genoemde data loss prevention tools. Hierbij worden uitgaande e-mails automatisch gecontroleerd teneinde verboden verspreiding van vertrouwelijke bedrijfsinformatie te voorkomen. Maar de werkgroep noemt ook andere systemen en technologieën, zoals eDiscovery-technologie, ´wearables´ en kantoorapplicaties die als cloudservice worden aangeboden.

Het gebruik van dergelijke systemen is volgens de werkgroep toegestaan, mits in balans met de privacyrechten van het personeel. Systemen die e-mail- en internetgebruik controleren zouden bijvoorbeeld zó geconfigureerd kunnen worden dat het gebruik niet permanent wordt gelogd, maar dat verdachte e-mails alleen worden geblokkeerd met de mogelijkheid om daarna te beslissen om de mail wel of niet te lezen. Een werkgever kan ook alternatieven aanbieden voor privéaangelegenheden, zoals een wifi-netwerk en/of standalone pc´s voor privégebruik. De werkgroep adviseert om vooraf in ieder geval een ´data protection impact assessment´ (DPIA) te verrichten en de eventuele medezeggenschapsorganen te betrekken (in Nederland is dat laatste overigens verplicht).[23] Een duidelijk beleid over het gebruik van bedrijfsmiddelen en -netwerken – naast een privacybeleid – blijft uiteraard van groot belang.

Na het schrijven van deze blog is mij gevraagd of werknemers dergelijke systemen niet kunnen omzeilen door bijvoorbeeld met hun privételefoon en buiten het netwerk van de werkgever bedrijfsgegevens te kopiëren of door te sturen. Hoewel deze vraag van technische aard is, sluit ik niet uit dat dit mogelijk is, maar ik kan mij voorstellen dat IT-beveiligers dit risico al hebben voorzien.

Het controleren van e-mail- en internetgebruik op het werk kan onder omstandigheden in strijd zijn met het recht op privacy van werknemers. Het is namelijk algemeen aanvaard dat werknemers tot op zekere hoogte een recht op privacy hebben op het werk. Dat recht strekt zich onder meer uit tot e-mailcorrespondentie en gebruik van (zakelijk) internet.

Om in kaart te kunnen brengen hoe ver het recht op privacy in een concreet geval strekt, is het van belang om rekening te houden met een aantal factoren. Is de werknemer er vooraf van op de hoogte gesteld dat e-mail- en internetgebruik wordt gecontroleerd? En hoe ver gaat die controle? Zijn er regels over het gebruik van zakelijk e-mail en internet voor privé doeleinden, zijn deze duidelijk onder de aandacht gebracht en worden deze consequent toegepast? Verder is belangrijk of u gegronde redenen hebt om over te gaan tot controle, en of er minder ingrijpende middelen voorhanden zijn om het beoogde doel te bereiken. Houd rekening met de mogelijke gevolgen voor de werknemer en de waarborgen die zijn getroffen om zijn of haar privacy te waarborgen. Tot slot is het van groot belang om rekening te houden met de (andere) regels die zijn vastgelegd in de AVG.

Is sprake van onrechtmatige controle op e-mail- en internetgebruik, dan kan dat vergaande consequenties hebben. Een werkgever kan een (schade)vergoeding verschuldigd zijn aan de werknemer. De Autoriteit Persoonsgegevens kan handhavend optreden. In uitzonderlijke gevallen kan het onrechtmatig verkregen bewijs door de rechter buiten beschouwing worden gelaten.

Het bovenstaande laat zien dat het aan te bevelen is om u goed juridisch te laten adviseren voordat u besluit om e-mail- en internetgebruik op het werk (al dan niet geautomatiseerd) te controleren. Wij zijn u hierbij graag van dienst.