e-Privacy
e-Privacy: Wat is het?
Privacy is een begrip dat in de loop der tijd een verschillende betekenis heeft gekregen. Aanvankelijk ging het om de scheiding tussen het individu en zijn omgeving. Deze scheiding werd door de oude Grieken en Romeinen niet positief ervaren: het private domein werd beschouwd als het domein van de onvrijheid en was bedoeld voor slaven. Door de komst van de drukpers en het verschijnen van boekwerken in grotere oplagen, ontstond de gelegenheid om zich in zijn bibliotheek terug te trekken en kennis te nemen van het gedachtegoed van anderen, zonder zichzelf bloot te geven. Met de komst van de massamedia - aanvankelijk met name in de VS - werd privacy gedefinieerd als 'the right to be let alone'. Alhoewel sommige wet- en verdragsteksten en ook woordenboeken privacy nog steeds omschrijven in termen van afscheiding en terugtrekking, gaat het in onze maatschappij allang niet meer alleen over de mogelijkheid om zich in zijn eigen domein terug te trekken. Met de komst van de moderne informatiemaatschappij gaat het ook steeds meer om het kunnen beheren van de grenzen tussen het persoonlijke en de omgeving, zowel in de private als in de publieke ruimte. De context valt niet meer samen met de locatie (thuiswerken voor de zaak en andersom). Privacy kan zo worden gezien als het recht van een individu om te bepalen wie toegang heeft tot bepaalde delen van informatie over hemzelf: informationele zelfbeschikking.
Hoewel wet- en regelgeving met betrekking tot e-privacy gewoonlijk voor 'gewone mensen' is bedoeld, zijn wij van mening dat ook ondernemingen en instellingen zichzelf dienen te beschermen tegen ongewenste verwerking van al dan niet vrijwillig verstrekte gegevens: privacy voor ondernemingen!
Profilering
Profilering is een proces dat gebruikmaakt van gedetailleerde registratie van gedragingen van personen op het internet. Denk hierbij aan geraadpleegde internetpagina's, bestelde producten, zoekopdrachten en gegevens die men zelf heeft afgestaan bij aanmelding of inschrijving via het internet. En mogelijk in de toekomst zijn het ook gegevens die ons zijn ontfutseld door allerlei sensortechnologieën, die als bronmateriaal voor profilering kunnen dienen. Het blijft daarbij altijd de vraag in hoeverre de gegevens, waaruit de profielen zijn afgeleid, correct, relevant en compleet zijn en op welke manier het resultaat tot stand is gekomen.
Welke risico's zijn er?
Zowel natuurlijke personen als bedrijven dienen hun privacy te bewaken. Behalve dat het niemand aangaat welke de gedragingen van een persoon - al dan niet op internet - zijn, kleven er ook gevaren aan, waarvan men zich vaak niet bewust is. Grofweg gaat het dan om:
  • Het risico van verkeerd onderscheid op grond van foutieve categorisering. Deze kan ontstaan wanneer onvolmaakte of verkeerd toegepaste statistische methodieken worden losgelaten op via internet vergaarde gegevens. Voor bedrijven kan dit bijvoorbeeld betekenen dat ze met een verkeerde categorie op Google Maps komen te staan , of dat hun site op een portal niet te vinden is, terwijl dat wel degelijk de bedoeling was. Ook kan het gebeuren dat medewerkers, die persoonlijk herkenbaar zijn op grond van biometrische profilering van het typegedrag en die voor hun werk iets opzoeken, naar de verkeerde sites worden geleid of de verkeerde aanbiedingen krijgen voorgeschoteld.
  • Het ontbreken van de mogelijkheid om fouten te corrigeren. Geautomatiseerde omgevingen koppelen niet terug maar 'hebben altijd gelijk'. Het is niet zichtbaar wat er bij het genereren van profielen gedaan wordt en welke methodieken daarbij worden toegepast, Hierdoor is er ook geen gelegenheid een en ander zo nodig recht te zetten. Het blijkt soms onmogelijk te zijn om gegevens terug te trekken, of er bestaat geen zekerheid omtrent het feit of de gegevens na terugtrekking werkelijk verwijderd worden. Het is dus van groot belang om dit probleem te voorkomen door in een zo vroeg mogelijk stadium ervoor te zorgen dat alleen strikt noodzakelijke bedrijfsgegevens correct op het internet terecht kunnen komen. Hierdoor wordt een zeker verlies van autonomie voorkomen.
  • De voor het ene doel verzamelde gegevens kunnen daarna voor een ander doel gebruikt worden, zonder dat daar een duidelijk mandaat voor bestaat. Dit wordt 'function creep' of 'gegevenskruip' genoemd. Vergelijk het opslaan van vingerafdrukken Bedrijven dienen zich dus goed te realiseren dat hun gegevens én die van hun medewerkers, uiteindelijk ook tegen hen gebruikt kunnen worden en dienen zich daartegen in te dekken. Dit risico lopen abonnees van Vodafone die locatiegegevens van gsm-telefoons verwerkt. Behalve dat dit nuttige verkeersinformatie oplevert, kan dit ook leiden tot profilering waaruit ongewenste resultaten kunnen voortvloeien, die, zoals hierboven beschreven, ook nog eens onzichtbaar zijn.
Kader
Voor bedrijven gaat het bij e-privacy in grote lijnen om externe en interne aspecten. Extern met betrekking tot wettelijke voorschriften, leveranciers, concurrenten en afnemers. Intern gaat het om individuele medewerkers (inclusief de directie), zowel binnen- als buitenshuis en zowel binnen als buiten werktijd, alsmede om de ondernemingsraad of enig ander vertegenwoordigend orgaan waarop regelgeving met betrekking tot privacy van toepassing is.
De overheid is vooral bezig met de privacybescherming van de burger. Er is bestaande wet- en regelgeving en er is nog meer in de maak, voornamelijk als gevolg van Europese richtlijnen. Europa zit ook niet stil, de komende jaren zullen steeds meer richtlijnen het levenslicht zien. In Nederland hebben we diverse wetten met betrekking tot privacy. De bekendste daarvan is de Wet bescherming persoonsgegevens (Wbp).
Social media
De sociale media gaan een steeds belangrijkere rol spelen in het leven van de mens. Men is nog hechter met elkaar verbonden dan voorheen met e-mail mogelijk was. Steeds meer mensen bloggen, twitteren en zijn aangesloten op sociale netwerken als Hyves, LinkedIn, Myspace en Facebook. Vooral deze laatste heeft geen beste reputatie als het om privacy gaat. Het kan niet anders dan dat deze sites ook onder werktijd bezocht worden. Dan kan het in ieder geval vanuit juridisch oogpunt - soms verschil uitmaken of men dit met een eigen smartphone doet of met de apparatuur die aan het bedrijf toebehoort.
Sociale media spelen een rol bij het solliciteren, dus vóór de aanvang van het dienstverband, bij disfunctioneren van de werknemer, bij vertrouwelijke bedrijfsinformatie, bij negatieve uitlatingen over het bedrijf en tenslotte bij ex-werknemers met een concurrentiebeding na het einde van het dienstverband.
Bij sollicitaties geldt als uitgangspunt dat informatie die openbaar op internet toegankelijk is, gebruikt mag worden bij de selectie van sollicitanten. Maar de werkgever moet zich ervan bewust zijn dat informatie op internet niet altijd betrouwbaar is en dat het gebruik ervan bij de sollicitant bekend moet zijn en dat de Wbp eisen stelt aan de opslag en het gebruik van de gegevens.
Een werknemer meldt zich op vrijdagochtend ziek. Een paar uur later ziet een van haar collega's op Facebook een bericht van de persoon in kwestie met de melding dat deze lekker met een glaasje in het zonnetje zit. Wat kan de werkgever doen? Mag de werkgever de informatie van Facebook überhaupt gebruiken? Hier is het onderscheid tussen privé en publiek domein van groot belang.
Wanneer de werknemer al dan niet na het aannemen van een valse identiteit zich op zo'n medium negatief uitlaat over zijn werk of gegevens onthult die niet onthuld hadden mogen worden, kan dit vervelende gevolgen hebben voor het bedrijf. Wanneer en hoe kan de werkgever hiertegen optreden? Over het algemeen geldt dat vrijheid van meningsuiting prevaleert boven het belang dat de werkgever bij imagobehoud heeft. Dat wil echter niet zeggen dat dit in onbeperkte mate het geval is. Hoe dan toch bescherming te creëren? Ook hier geldt weer dat het beter is om te voorkomen dan te genezen. Het in een zo vroeg mogelijk stadium sturen van de gang van zaken en afdekken van risico's verdient uiteraard de voorkeur boven het op een gegeven moment geconfronteerd worden met voldongen feiten.
De werknemer zegt zijn dienstverband op en begint voor zichzelf. Hij verandert zijn profiel op LinkedIn als zodanig. Wanneer de werknemer 'gelinkt' is aan klanten of andere zakelijke relaties van zijn ex-werkgever, is het resultaat daarvan dat al die relaties een e-mail ontvangen waarin staat dat zijn profiel is gewijzigd en dat hij voor zichzelf is begonnen. Overtreedt de werknemer hiermee zijn relatiebeding?
Regels en ruimte
Hoewel de sanctionering nog niet veel voorstelt, stelt de Wbp strenge regels aan het verzamelen, opslaan en doorgeven van tot personen herleidbare gegevens. Het betreft dan bijvoorbeeld naw-gegevens, e-mailadressen, foto's en films waarop mensen herkenbaar te zien zijn (cameratoezicht) en zelfs IP-adressen. Behalve in gevallen waarvoor ontheffing geldt, is toestemming van betrokkenen, waaronder de bezoekers van een website, voor iedere verwerking van persoonsgegevens verplicht. Bij minderjarigen dient die toestemming door de ouders verleend te worden. Behalve dat ze toestemming verleend moeten hebben, moeten de betrokkenen ook toegang hebben tot hun eigen gegevens en in de gelegenheid worden gesteld om deze te (doen) wijzigen of verwijderen. Men moet zich eenvoudig kunnen uitschrijven van nieuwsbrieven en dergelijke. Ook het verstrekken van gegevens aan derden, zelfs aan justitie, is aan regels (o.a. ten gevolge van jurisprudentie) gebonden.
Volgens de huidige opvatting in literatuur en rechtspraak kunnen werkgevers niet zomaar het internet- en mailgedrag van hun werknemers controleren of registreren. Over het gebruik van sociale media door werknemers al dan niet op de werkplek is tot nu toe nauwelijks rechtspraak voorhanden. De privacy van de werknemer gaat in beginsel boven het bedrijfsbelang, maar er kan van afgeweken worden. Iedereen heeft op grond van internationale privacywetgeving recht op een 'redelijke privacyverwachting', ook bij het gebruik van elektronische middelen. Bij een redelijk vermoeden van wangedrag gaan andere regels gelden. Van groot belang is dan om rechtmatige doelen na te streven, zoals bestrijding van onnodig hoge kosten, beveiligingsrisico's, public relations, pornografie en arbeidsconflicten. Wat daarbij wel en niet toelaatbaar is hangt dus sterk af van de omstandigheden, die per bedrijf kunnen verschillen. Het domweg wegfilteren van bepaalde sites op grond van een vaag criterium of een lijstje van trefwoorden, is in ieder geval niet toegestaan. Bedrijven dienen hier kritisch naar te kijken.
Ook de ondernemingsraad speelt een rol bij maatregelen in verband met e-privacy. De Wet op de Ondernemingsraden bepaalt dat een ondernemer de instemming van de ondernemingsraad nodig heeft als hij regelingen voor het verwerken van persoonsgegevens van medewerkers wil toepassen. Ook hier gelden procedures die in acht genomen dienen te worden en waarop door het College Bescherming Persoonsgegevens wordt toegezien.
e-Privacyscan
Voor alle hiervoor genoemde problemen bestaan oplossingen, bijvoorbeeld een privacystatement, al dan niet persoonlijk ondertekende protocollen tussen werkgevers en werknemers en aanmelding bij het College Bescherming Persoonsgegevens of een andere daarvoor aangewezen instantie. Ook is het verstandig om een draaiboek te hebben voor de gevallen waar ingrijpen vereist is. Het in een zo vroeg mogelijk stadium in kaart brengen van de risico's en het schrijven van een plan van aanpak in verband met e-privacy is tegenwoordig even belangrijk als bijvoorbeeld het opstellen van een bedrijfsplan.
Mountainstream assisteert u, in samenwerking met Van Jole Advies en Management, bij het in kaart brengen van de situatie op uw bedrijf. Wij noemen dat de e-privacyscan. En wij kunnen u daarna adviseren en assisteren bij het nemen van de adequate maatregelen.