Privacy/De IT'er
Door middel van IT kan men gebruikers gemakkelijk volgen in hun doen en laten. Vaak wordt het dan een moeilijk evenwicht tussen ethiek, wetgeving en de verwachtingen van oversten.
Bij de duiding kon u al lezen over de wet op de bescherming van de privacy en het behoud van de persoonlijke levenssfeer. Deze pagina wil oa. de taken van een IT'er toelichten in dit wettelijk kader. Dit zou er moeten toe leiden dat de IT'er een overzicht inzake privacy kan samenstellen, actueel kan houden en zo nodig kan raadplegen.[1] Zo zou de Nationale Bank van België een vrij goed gedocumenteerd systeem hebben uitgewerkt en zou ook de Stad Gent regels opgesteld hebben over hoe je omgaat met oa. internetgebruik en e-mailgebruik.[2] Dit boek kan interessant zijn voor een zelfstandige IT'er (computerwinkel, programmeur,...), maar ook voor de IT-werknemer, die in opdracht werkt van iemand anders.
Onderzoek
[bewerken]Het Belgische "Vacature Magazine" heeft begin 2013 een onderzoek uitgevoerd m.b.t. privacy op de werkvloer. Enkele opvallende zaken[3]:
- 36% van de werkgevers controleert soms de mailbox van werknemers
- 46% van de bedrijven controleert uitzonderlijk tot regelmatig het surfgedrag van personeelsleden
- 5% van de werkgevers luistert uitzonderlijk tot regelmatig persoonlijke (!) telefoongesprekken van medewerkers af
- 8% van de werkgevers contacteert soms de huisarts van werknemers op zoek naar medische informatie
- Het tracken en tracen van bedrijfswagens zit stevig in de lift: 1 op tien bedrijfswagens wordt – al dan niet constant – gevolgd door de werkgever.
- Ruim 4 bedrijfscomputers op 10 worden gescreend met speciale software, maar bijna 4 werknemers op 10 zijn daar totaal niet van op de hoogte.
M.b.t. deze gegevens kan men zich ethische en wettelijke vragen stellen. Ethiek en wetgeving zijn niet per definitie hetzelfde. In de stukken hieronder wordt hier dieper op ingegaan.
Deze vorm van direct marketing mag niet zomaar. In principe moet u de toestemming vragen (dit wordt "opt-in" genoemd). Slechts in enkele gevallen is de toestemming niet vereist en volstaat het dat de betrokkene zich nadien kan verzetten tegen het verder ontvangen van reclame via e-mail (dit is "opt-out").
Deze opt-out volstaat indien u:
- de elektronische contactgegevens rechtstreeks verkregen heeft in het kader van de verkoop van een product of een dienst;
- de elektronische contactgegevens uitsluitend gebruikt voor gelijkaardige producten of diensten die uzelf levert en,
- aan de klanten, op het ogenblik waarop u de elektronische contactgegevens verzamelt, de mogelijkheid geeft om zich kosteloos en op gemakkelijke wijze tegen de uitbating ervan te verzetten.
Mag de werkgever mijn mails en internetverkeer bekijken?
[bewerken]Op 2 mei 2012 heeft de Privacycommissie een aanbeveling uitgebracht over werkgeverscontrole van e-mail en internetgebruik op de werkvloer (“cybersurveillance").[5]
Een werkgever mag bijvoorbeeld een e-mail van een van zijn werknemers raadplegen, of kijken wanneer die naar welke website gesurft heeft, omdat hij als werkgever de communicatie van zijn bedrijf of organisatie moet kunnen beheren. Het arbeidsrecht erkent namelijk de uitoefening van het gezag van de werkgever over de werknemer voor deze doelstelling. Een werkgever kan de elektronische communicatie van een werknemer raadplegen, enerzijds wanneer die laatste afwezig is en de dienstverlening toch moet kunnen worden verdergezet, en anderzijds in het geval van een gerichte controle op de naleving van het arbeidscontract. De werkgever moet in beide gevallen wel een aantal regels respecteren.
Voor een privacyvriendelijke raadpleging van elektronische communicatie moet de werkgever de volgende drie basisbeginselen voor ogen houden:
- hij moet een welbepaald doel voor ogen hebben;
- hij mag niet systematisch alles controleren;
- de betrokken werknemer moet weten dat de werkgever controles kan uitvoeren. Opgelet: dit impliceert dus niet dat de werknemer zijn toestemming moet geven, enkel dat hij hierover vooraf geïnformeerd moet zijn.
Deze drie basisbeginselen zijn van toepassing op zowel professionele als persoonlijke communicatie van de gecontroleerde werknemer, al geldt een nog striktere bescherming voor de tweede categorie, die enkel relevant wordt voor de werkgever wanneer persoonlijke communicatie een correcte uitvoering van de taken van de werknemer in het gedrang brengt. In dat geval is vaak enkel de frequentie van persoonlijke boodschappen al voldoende als bewijs van misbruik, en niet de inhoud ervan.
Wanneer het informaticasysteem van de werkgever gebruikt wordt voor zowel professionele als persoonlijke communicatie, is een strikte scheiding van beide categorieën moeilijk houdbaar. In het elektronische postvak van de werknemer ziet de werkgever dan onvermijdelijk ook privémails, al was het maar de afzender of het onderwerp ervan. Daarom beveelt de Privacycommissie aan om de werknemer voor privécommunicatie een apart adres te laten gebruiken.
Privacy en recht op vrije meningsuiting
[bewerken]Stel dat je je werk(gever) beledigt, mag dit dan in het kader van je recht op privacy en/of recht op vrije meningsuiting? Als dit uiten t.o.v. je partner gebeurt zal dit normaal geen probleem zijn. Maar met sociale media zoals Facebook, blijkt het vooral af te hangen van de context, aldus de rechtspraak. Enkele voorbeelden hiervan kunnen gelezen worden op EmSoc, bij een artikel "Ontslagen na kritiek op Facebook". Het moge duidelijk zijn dat er hoe dan ook omzichtig moet worden omgegaan met kritiek op Facebook.
Camerabeelden
[bewerken]Het toenemend aantal bewakingscamera's is een feit. Maar mag iedereen zomaar om het even waar een camera installeren? De voornaamste principes daaruit zijn dat bewakingscamera's moeten worden aangegeven bij de Privacycommissie en dat er een pictogram moet worden opgehangen zodat u weet dat die camera daar hangt. Of een camera wel of niet is aangegeven kan op de website van de Privacycommissie worden opgezocht in hun openbaar register.
Indien de werkgever de procedures niet gevolgd heeft en hij wil de beelden gebruiken dan kan het zijn dat de rechter die beelden niet in aanmerking neemt om een geval te beoordelen. In andere gevallen kan de rechter het niet volgen van de informatieprocedure door de vingers zien. De rechtspraak is hieromtrent niet éénduidig.[6]
Met "gegevensverwerking" wordt bedoeld: elke mogelijke bewerking die op deze persoonsgegevens wordt uitgevoerd, zoals verzamelen, gebruiken, beheren of meedelen. Enkele voorbeelden:
- een winkel die een klant vraagt een antwoordstrookje in te vullen, verwerkt gegevens;
- een hotel dat de mogelijkheid biedt online te reserveren verwerkt eveneens gegevens wanneer het daarvoor de naam van de gast(en), verblijfsdata en een kredietkaartnummer opvraagt.
De informatie- en communicatietechnologieën zijn snel geëvolueerd, wat veel mogelijkheden en talrijke voordelen biedt. Door het gebruik van computers en van het internet kunnen bedrijven maar ook de overheid een betere dienstverlening garanderen en wordt ons dagelijkse leven vergemakkelijkt. Het gebruik van die technologieën kan echter ook onze privacy in gevaar brengen. De gegevens die door technologieën worden verspreid zijn immers vaak persoonlijk. Gegevensbanken of bestanden met persoonsgegevens worden aangelegd, gebruikt, meegedeeld en verkocht. Het wordt dan ook steeds moeilijker te weten wie welke gegevens heeft en wat ermee gebeurt; we hebben niet langer de controle over onze gegevens. Het gevaar op misbruik is bijgevolg groot.
Een gegevensverwerking begint met het verzamelen van gegevens. Maar vóór de gegevens worden verzameld moet de verantwoordelijke voor de verwerking bij de Privacycommissie aangifte doen van die verwerking.
De verzameling van gegevens moet eerlijk en dus transparant verlopen. Dit betekent dat de persoon op wie de gegevens betrekking hebben daarover informatie moet krijgen van de persoon die gegevens verzamelt (verantwoordelijke voor de verwerking of zijn vertegenwoordiger).
De verantwoordelijke voor de verwerking moet:
- aangeven waarom hij persoonsgegevens wil verkrijgen;
- zijn contactgegevens doorgeven;
- laten weten wie de gegevens zal krijgen;
- vermelden dat de betrokken persoon het recht heeft zijn gegevens in te kijken en te verbeteren;
- vermelden dat de betrokken persoon zich kosteloos mag verzetten tegen het gebruik van zijn gegevens voor direct marketing, zoals bv. reclameacties.
De verantwoordelijke voor de verwerking mag niet:
- zeggen dat hij een bepaald doel nastreeft terwijl hij met de verzamelde gegevens andere bedoelingen heeft;
- handelen zonder medeweten van de betrokken persoon. Als die laatste bv. via een website een bestelling plaatst en u daardoor zijn persoonsgegevens moet meedelen, moet de website in een rubriek voorzien die vermeldt wat er met de gegevens zal gebeuren. Deze rubriek wordt meestal "privacy policy" genoemd. Het is dan ook van belang dat de betrokken persoon deze rubriek op voorhand leest.
Persoonsgegevens mogen enkel worden verzameld als ze noodzakelijk zijn om het aangekondigde doel te bereiken en ze ter zake kunnen dienen. Zo mag een handelaar de naam en het adres van zijn klanten vragen om hun facturen toe te sturen of hen over zijn commerciële activiteiten te informeren. Hij heeft echter geen geldige reden om de geboortedatum of het beroep van zijn klanten te vragen.
Ook als het technisch mogelijk is om meer gegevens op te vragen en te verwerken, moet het aangekondigde doel voor ogen blijven. Zo bevat de identiteitskaart verschillende gegevens: naam, voornamen, adres, nationaliteit, geboortedatum en –plaats, geslacht, foto, rijksregisternummer, enz. Dikwijls is alleen je naam al voldoende om het doeleinde te bereiken, en soms volstaat de postcode al: het gemeentelijk zwembad heeft enkel die informatie nodig om de inwoners van de gemeente een voordelig tarief te kunnen aanbieden.[8]
- ↑ Cfr. het leerplan D/2010/7841/004, d.i. het leerplan Toegepaste Informatica van de richting informaticabeheer, derde graad tso.
- ↑ Hoe ver gaat jouw privacy op het werk?
- ↑ PRIVACY OP DE WERKVLOER: UW BAAS ZIET U, ALTIJD EN OVERAL (2013-04-23).
- ↑ [1]
- ↑ Zie CBPL - Infobrochure "cybersurveillance".
- ↑ Kan de werkgever een verborgen camera plaatsen?
- ↑ Wat is gegevensverwerking?
- ↑ Welke eID-gegevens mogen verwerkt worden?