Controle e-mail / internet werknemers: aan welke vereisten moet voldaan worden. (Privacyrecht)

Het EHRM deed op dinsdag 05 september 2017 een belangrijke uitspraak over controle van e-mails van werknemers. Voortaan is voorafgaande toestemming verplicht én moeten onrechtmatig verkregen gegevens worden meegewogen in het ontslag. In die uitspraak schetste het EHRM een toetsingskader, waaraan controle moet voldoen. In dit artikel wordt ingegaan op dat toetsingskader. Met andere woorden, wanneer mag de e-mail van werknemers gecontroleerd worden. Daarna wordt ingegaan op de gevolgen van een onrechtmatige controle.

Wie  e-mails (of internetverkeer) van zijn werknemers wil controleren krijgt te maken met de Wet bescherming persoonsgegevens (Wbp), de Wet op de ondernemingsraden (Wor), het Europees Verdrag Voor de Rechten van de Mens (EVRM) en het reguliere arbeidsrecht. Hoewel controle dus mogelijk is moet de werkgever wel voldoen aan een aantal strenge vereisten.

Het is belangrijk hier op voorhand rekening mee te houden omdat de wens te controleren meestal achteraf ontstaat. Bijvoorbeeld als er een vermoeden van fraude bestaat of een arbeidsgeschil dreigt. Dan is de werkgever te laat. Op voorhand moet duidelijk zijn dat gecontroleerd kan worden.

De vereisten voor e-mailcontrole

Om e-mail of internetgegevens van een werknemer te mogen controleren moet de werkgever in ieder geval aan de volgende vereisten voldoen:

  • Waarschuwing vooraf (e-mailprotocol): De werkgever moet werknemers op voorhand waarschuwen dat zijn e-mails en internetverkeer mogelijk gecontroleerd kunnen worden. Die waarschuwing moet ook voldoende duidelijk zijn over de reikwijdte van de controle en de middelen daartoe. Controleert de werkgever bijvoorbeeld permanent, of alleen wanneer een redelijke verdenking bestaat? De waarschuwing kan via een personeelshandboek of e-mailprotocol worden gegeven, als daarnaar maar verwezen wordt in de arbeidsovereenkomst. Het is verstandig de controle-processen zo concreet mogelijk te omschrijven.
  • Controle moet een gerechtvaardigd doel hebben: De werkgever moet dus een goede reden hebben om te controleren. Let wel, dit moet een concreet gevaar zijn. Bijvoorbeeld ‘het voorkomen dat de it-systemen beschadigen’, ‘aansprakelijkheid voor illegale activiteiten’ en ‘uitlekken van bedrijfsgeheimen’ werden door het EHRM als “theoretical” gezien omdat het bedrijf deze niet had toegelicht. Wie dus een doel noemt zal dat moeten toelichten.
  • Controle mag niet verder gaan dan nodig(subsidiariteit): Onderscheid wordt gemaakt tussen het enkele monitoren van internetverkeer én het daadwerkelijk bekijken van de inhoud daarvan. Daarnaast bestaat een verschil tussen permanente observatie en tijdelijke observatie. De werkgever moet actief bepalen dat er geen andere, minder invasieve, weg is om het doel te bereiken.
  • Controle moet in verhouding staan met het te bereiken doel (proportionaliteit): ‘zwaardere middelen’ mogen alleen worden ingezet om belangrijkere, meer concrete, doelen te bereiken. Zo zal permanente observatie van de inhoud van berichten bijna nooit toelaatbaar zijn. De inbreuk op de privacy is namelijk zo groot dat bijna geen enkel doel dat rechtvaardigt. Het zou bijvoorbeeld wel toegestaan kunnen zijn als de werknemer met staatsgeheimen werkt. Wie niet aan permanente controle doet zal per geval een afweging moeten maken, waarbij ook van belang is de ernst van de verdenking.
  • Het gevolg van een controle mag niet te ver gaan: relatief lichte vergrijpen kunnen zomaar niet met ‘ontslag’ bestraft worden. Dit spreekt feitelijk voor zich en daar wordt door de ontslagrechter ook actief op getoetst. Het verdient echter aanbeveling om de gevolgen van bepaalde overtredingen op voorhand vast te leggen en dat ook na te leven.
  • Een e-mailprotocol moet worden goedgekeurd door de OR: Als een organisatie een ondernemingsraad heeft moet deze het e-mailprotocol goedkeuren.

 

Veel van deze vereisten kunnen dus worden ondervangen met een goed e-mailprotocol. In dat protocol kan worden vastgelegd wanneer gecontroleerd wordt, op welke wijze en aan welke voorwaarden de controle voldoet.

De gevolgen van onrechtmatige controle van werknemers e-mail.

Een onrechtmatige controle is een inbreuk op de privacy van werknemers en bovendien een overtreding van de Wbp. Dat kan natuurlijk de nodige juridische consequenties hebben:

  • SchadevergoedingDe werkgever kan aansprakelijk worden gesteld voor schade van de werknemer. Die schade zal vaak immaterieel zijn en is afhankelijk van de ernst van de inbreuk. In Nederland worden bijna nooit extreem hoge bedragen als schadevergoeding toegekend.
  • Boetes: De Autoriteit Persoongegevens kan een boete opleggen van maximaal € 820.000,-. In theorie zou ook de Inspectie ZSW een boete van € 820.000,- kunnen opleggen. De inbreuk op de privacy kan namelijk gezien worden als een psychisch onveilige werkplek.
  • Ontslag kan worden afgewezen: Als met de controle iets gevonden wordt leidt dat vaak tot ontslag. Dat ontslag is dan gebaseerd op onrechtmatig verkregen bewijs. In het huidige Nederlandse recht wordt dat bewijs in beginsel toch toegelaten. Het EHRM wijst er echter op dat zo’n ontslag een te ernstige sanctie kan zijn, waardoor artikel 8 EVRM overtreden kan worden. Onrechtmatig verkregen bewijs kan dus op zij geschoven worden door de rechter.

Licentie

Creative Commons-Licentie
Lexxit Knowledge van Lexxit is in licentie gegeven volgens een Creative Commons Naamsvermelding-NietCommercieel-GelijkDelen 3.0 Unported-licentie.
Gebaseerd op een werk op www.lexx-it.nl.

Lexxit geeft vrijblijvend advies over uw casus!

Meld internetmisbruik