Annick Alders – Cautius
Covid- of ander telewerk betekent controleverlies voor de werkgever. Om dit te ondervangen, kan de werkgever een controlesysteem op de gebruikte (online)telecommunicatie opzetten. Deze controle is evenwel aan strikte voorwaarden onderworpen – de toestemming van de werknemers volstaat niet – en speelt haasje over met het recht op privacy. De sancties bij inbreuken zijn niet min.
Gluursoftware zit in de lift
“Ook thuis kijkt de baas over je schouder mee”, kopte de Morgen onlangs. De vraag naar zogenaamde ‘gluursoftware’ zou tijdens de pandemie gestegen zijn van 1 bedrijf op 10 naar 1 op 3. Deze software verzamelt tal van gegevens en koppelt deze tot een rapport waaruit vervolgens de productiviteit van de werknemer moet blijken. Het gaat daarbij om geolocalisatie, telefoongesprekken, camerabewaking en elektronisch toezicht op internet en e-mail.
In deze bijdrage focussen we op controle van dit laatste. Mag de werkgever wel het internet- en e-mailverkeer van zijn werknemer controleren?
Recht op privacy vs. Recht op controle en toezicht
Het recht op privacy is een grondrecht (art. 8.1. EVRM) dat ook op het werk (EHRM (Grote Kamer) nr. 61496/08, 5 september 2017 (Barbulescu/Roemenië)) en dus, per definitie ook bij telewerk moet gewaarborgd blijven (punt 6 Europees kaderakkoord inzake telewerk van 16 juli 2002).
Controle en toezicht op de door de werkgever ter beschikking gestelde hulpmiddelen en materialen zoals een computer, netwerktoegang en software behoort evenwel ook tot de prerogatieven van de werkgever. Voorwaar een moeilijk evenwicht tussen twee schijnbaar tegengestelde rechten, die evenwel geen van beiden absoluut zijn.
Beperking van het gebruik van hard- en software
Werkgever en werknemer kunnen contractueel, in de individuele arbeidsovereenkomst, een policy of het arbeidsreglement verplichtingen over het gebruik van de soft- en hardware opnemen. CAO nr. 85 bepaalt zelfs uitdrukkelijk dat de werkgever de regelmatige thuiswerker informeert over de beperkingen van het gebruik van IT hard- en software. Ook de sancties bij inbreuk moeten vooraf vastliggen. CAO nr. 149 bevat dezelfde bepaling voor het aanbevolen of verplichte corona-thuiswerk.
Werkgever en werknemer kunnen niet alleen beperkt privé-gebruik overeen komen. Een volledig verbod op privé-gebruik van het ter beschikking gestelde materiaal en middelen is ook mogelijk. Toch betekent dat laatste niet dat de werkgever automatisch ook de inhoud van het mail- of internet verkeer kan controleren. U las hierboven immers al dat het recht op privacy ook bestaat op het werk, zelfs als privé-gebruik contractueel werd uitgesloten. (Cass. 20 mei 2019, RG S.17.0089.F)
Controle is mogelijk
Onder de geldende telecommunicatieregeling is kennisname van e-mails die aan een derde zijn gericht enkel mogelijk mits de uitdrukkelijke toestemming van de verzender (art. 124 van de Wet van 13 juni 2005 betreffende de elektronische communicatie). In een arbeidsrelatie volstaat volgens de Gegevensbeschermingsautoriteit de individuele toestemming als rechtsgrond voor controle evenwel niet. Het is immers de vraag hoe vrijwillig de toestemming van de werknemer is in de arbeidsrelatie. (aanbeveling nr. 08/2012 van 2 mei 2012 van de Gegevensbeschermingsautoriteit).
Een rechtsgrond voor patronale controle vinden we wel terug in de regelgeving over de bescherming van de persoonsgegevens (GDPR) en de CAO nr. 81, waarnaar CAO nr. 85 en CAO nr. 149 overigens uitdrukkelijk verwijzen. Deze CAO nr. 81, de facto een toepassing van de privacyregelgeving op het werk, regelt de controle van internet- en e-mailgebruik op het werk
Maar kan enkel onder strikte voorwaarden
Dat zijn er in essentie drie:
A. Het finaliteitsbeginsel betekent dat de controle enkel mag gebeuren met het oog op de naleving van enkele limitatief opgesomde doeleinden:
- Preventie van illegale of lasterlijke feiten, feiten in strijd met de goede zeden of de waardigheid van anderen kunnen schaden. Kennis nemen van vertrouwelijke personeels- of medische gegevens, bezoeken van pornografische of pedofiele websites alsook alle mogelijke haat- of discriminerende websites vallen hieronder.
- De bescherming van de economische, handels en commerciële en financiële belangen van de onderneming die vertrouwelijk zijn. Schending van zakengeheimen en afbrekende reclame zijn hiervan typevoorbeelden.
- De veiligheid en/of de goede technische werking van de netwerkcomputersystemen van de onderneming en de fysieke bescherming van de installaties van de onderneming;
- Het te goeder trouw naleven van de in de onderneming vastgestelde regels voor het gebruik van on-linetechnologieën.
B. Verder moet de controle die een inmenging in de persoonlijke levenssfeer van de werknemer tot gevolg heeft tot een minimum beperkt blijven (proportionaliteitsbeginsel).
C. Verder moet de controle die een inmenging in de persoonlijke levenssfeer van de werknemer tot gevolg heeft tot een minimum beperkt blijven (proportionaliteitsbeginsel).
Voor werkposten uitgerust met beeldschermen herhaalt de Codex het principe dat er geen enkel kwantitatief of kwalitatief controlemechanisme mag gebruikt worden zonder medeweten van de werknemers. (Bijlage VIII.2-1 bij Codex, punt 3°b).
Individualisering van gegevens
Individualisering van de gemonitorde gegevens is toegelaten, zij het dat dit voor een controle op de naleving van de bedrijfsinterne internet- of telecommunicatiepolicy (doelstelling 4), pas mogelijk is nadat de werknemer voorafgaand is ingelicht over het bestaan van een onregelmatigheid die blijkt uit de collectieve datacontrole (art. 16 CAO nr. 81).
Strikte toetsing van de voorwaarden
Bij discussie zien de rechtbanken erop toe dat deze beginselen worden gerespecteerd. Een controle en outprint van het mailverkeer op grond van geruchten over concurrerende activiteiten, volstond alvast de toets niet. Het controleren van geruchten zonder ander ondersteunend bewijs beantwoordt immers niet aan de vereiste van afgelijnde en duidelijke doelstelling (Gent, 16 juni 2011, onuitg.).
Ook toegelaten gemengd professioneel en persoonlijk gebruik maakt controle moeilijk. Van zodra immers strikt persoonlijke communicatie of gegevens gecontroleerd worden, zal dit al snel de privacy-test niet doorstaan (EHRM (Grote Kamer) nr. 61496/08, 5 september 2017 (Barbulescu/Roemenië). Of de gecontroleerde gegevens als dan niet persoonlijk zijn, kan dikwijls immers pas nà de controle vastgesteld worden. De inbreuk op de privacy is dan al lang een feit.
Sanctie
Een ongerechtvaardigde kennisname van telecommunicatie is strafbaar met gevangenisstraf (zes maanden tot twee jaar) en geldboete (200 EUR tot 10.000 EUR) (art. 314bis Stafwetboek).
In een arbeidscontext worden werkgevers en leidinggevenden bij inbreuk op de CAO 81 gestraft met een sanctie van niveau 1 met mogelijke toepassing van een multiplicator (art. 189 Sociaal Strafwetboek). Bij vervolging voor beide inbreuken wordt de zwaarste straf opgelegd.
Het risico op strafsancties is één zaak, maar wat als het verkregen bewijs niet mag gebruik worden omdat het tegen de regels werd bekomen? De werkgever die middelen en tijd investeert in datacontrole, daarna iemand betrapt, maar de data niet kan gebruiken voor de rechtbank is eraan voor de moeite. Een analyse van het onrechtmatig verkregen bewijs zou ons in deze te ver leiden. Maar ook voor datacontrole geldt weer: bezint eer ge begint.
Ook gepbubliceerd op www.senTRAL.be
Foto: Chris Persyn
