Werknemers krijgen de beschikking over faciliteiten als internettoegang omdat ze die nodig hebben voor het werk dat van hen verwacht wordt. Aangezien die hulpmiddelen beschikbaar worden gemaakt door en in beheer zijn van de werkgever, mag diezelfde werkgever in principe ook eisen stellen aan het gebruik ervan. Maar dat kan problematisch worden omdat de grenzen tussen zakelijk en privégebruik niet altijd even helder zijn. Daarnaast kan een werkgever ook simpelweg verwachten dat mensen af en toe privézaken regelen tijdens werktijd. Privégebruik van internet onvoorwaardelijk verbieden is dan ook geen optie. En dat is niet alleen een kwestie van praktische (on)uitvoerbaarheid en algemene opvattingen over intermenselijke redelijkheid. Het gaat ook om zaken van principiële aard.
Want het recht van privacy geldt, binnen kaders van loyaliteit en professioneel functioneren, ook op de werkvloer en de werkplek. En met dat recht dient zorgvuldig te worden omgegaan. Werkgevers kunnen d niet zomaar controleren wat hun werknemers doen, ook niet in het geval van kennelijk of vermoedelijk privégebruik van zakelijke bedrijfsmiddelen die het eigendom zijn van de onderneming. Daar staat tegenover dat werkgevers de neiging hebben over de schouders van hun mensen mee te willen kijken, zeker sinds Corona en de massale overstap naar thuiswerken die daar het gevolg van was. Die behoefte aan controle is begrijpelijk en verdedigbaar. En het controleren van werknemers is onder bepaalde omstandigheden ook toegestaan.
Die controle kan op verschillende manieren plaatsvinden, bijvoorbeeld met behulp van tracking software, “volg-programmatuur” die registreert wat op computers gedaan wordt. Op die manier kan worden gekeken wanneer een medewerker in- en uitlogt, welke toetsen worden aangeslagen en hoe gebruik wordt gemaakt van e-mail en internet. Maar daarnaast zijn er natuurlijk ook meer traditionele methoden van monitoring en observatie, zoals cameratoezicht en zoals het opnemen van telefoongesprekken.
Maar controleren van werknemers is wel gebonden aan de eisen van de AVG. Zo moet de werkgever een “gerechtvaardigd belang hebben” bij monitoring van zijn personeel. Dit gerechtvaardigd belang, dat de werkgever moet kunnen aantonen en onderbouwen, dient vervolgens zwaarder te wegen dan de rechten en belangen van de geobserveerden. Een bijkomende voorwaarde is dat de controle noodzakelijk moet zijn, wat betekent dat het doel van de controle, monitoring of observatie niet kan worden bereikt op een andere, voor de werknemers minder ingrijpende manier. De werkgever moet zijn mensen ook informeren over wat toegestaan is en wat niet, en op de hoogte stellen van de mogelijkheid c.q. daadwerkelijke toepassing van controlemaatregelen en over de manieren waarop controle kan plaatsvinden. Om aan die informatieplicht te voldoen, kan bijvoorbeeld een protocol worden opgesteld.
Bij dit alles moet de werkgever ook onderscheid maken tussen werkgerelateerde en vertrouwelijke communicatie. Zo mag een werkgever geen e-mails lezen die uitdrukkelijk voor privégebruik zijn bedoeld. Grootschalige monitoring van persoonsgegevens is weliswaar een optie, bijvoorbeeld bij controle van mail- en internetgebruik, toepassing van gps-trackers in de auto’s van werknemers of cameratoezicht om diefstal en fraude te bestrijden, maar dan zal de werkgever eerst een DPIA moeten uitvoeren, een Data Protection Impact Assessment. Als daaruit blijkt dat de monitoring een hoog, niet te beperken risico oplevert, is overleg met de Autoriteit Persoonsgegevens verplicht. Voor “heimelijke controle” zijn bijkomende maatregelen nodig en gelden extra voorwaarden naast de vereisten voor gewone controle.
Conclusie
In de vroege periode van internet was privégebruik voor veel organisaties een bijzonder ernstige zaak. Een werknemer die websites bezocht voor persoonlijke doeleinden, liep het risico van ontslag, soms zelfs op staande voet. Dat is Inmiddels natuurlijk niet meer aan de orde. Werkgevers moeten nu aan allerlei strenge vereisten voldoen om überhaupt gerechtigd te zijn tot monitoring van hun personeel. En zolang werknemers geen schade aanrichten met privégebruik van internet, is er geen reden voor bewaking, beperking of regulering, laat staan disciplinaire maatregelen. Heeft de werkgever desondanks behoefte aan een nader te bepalen vorm van controle, dan gelden daarvoor strikte voorwaarden. Er moet sprake zijn van gerechtvaardigd belang, de controle moet noodzakelijk zijn en de werknemer moet worden geïnformeerd over de toepassing en de aard van controlevoorzieningen. Is de mogelijkheid aanwezig van hoog risico voor de privacy van de werknemers, dan is een DPIA verplicht. Blijkt daaruit dat er inderdaad sprake is van ernstig risico, dan moet de Autoriteit Persoonsgegevens worden geïnformeerd.
