| Overheidsorganisatie | Gemeente Spijkenisse |
|---|---|
| Officiële naam regeling | Privacyreglement elektronische communicatiemiddelen |
| Citeertitel | Privacyreglement elektronische communicatiemiddelen |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | automatisering en informatisering |
| Eigen onderwerp |
1. Deze regeling is niet ondertekend; de datum van ondertekening is overgenomen van het verslag van de vergadering van het college van burgemeester en wethouders
2. Deze regeling wordt ingetrokken door artikel 14 van het Privacyreglement elektronische communicatiemiddelen Nissewaard
Geen
Datum inwerking- treding | Terugwerkende kracht tot en met | Datum uitwerking- treding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 05-09-2012 | 01-01-2015 | nieuwe regeling | 28-08-2012 Weekblad Spijkenisse, 04-09-2012 | CZJZAC |
Het college van de gemeente Spijkenisse
gelet op:
het feit dat de gemeente Spijkenisse aan degenen die bij haar organisatie werkzaam zijn e-mail- en internetfaciliteiten ter beschikking stelt om met behulp daarvan hun functie uit te oefenen;
de wenselijkheid een Privacyreglement vast te stellen waarin naast regels voor e-mail- en internetgebruik eveneens regels zijn opgenomen voor het monitoren van dit gebruik;
het bepaalde in de Wet bescherming persoonsgegevens;
de instemming met het Privacyreglement elektronische communicatiemiddelen door de Ondernemingsraad van de gemeente Spijkenisse;
de Gedragsregels voor het gebruik van elektronische communicatiemiddelen;
besluit het volgende Privacyreglement elektronische communicatiemiddelen vast te stellen
In dit Privacyreglement elektronische communicatiemiddelen wordt verstaan onder:
Privacyreglement: Privacyreglement elektronische communicatiemiddelen;
gemeente: de gemeente Spijkenisse;
Cbp: College bescherming persoonsgegevens;
politieke ambtsdrager: een lid van het college of een raadslid;
medewerker: degene die aan te merken is als:
werknemer in dienst van de gemeente
persoon die (betaalde of niet-betaalde) werkzaamheden voor de gemeente verricht, anders dan in ambtelijk dienstverband;
gebruiker: politieke ambtsdrager en medewerkers die gebruik maken van de elektronische communicatiesystemen;
elektronische communicatiemiddelen: e-mail- en/of internetfaciliteiten, vaste telefonie en mobiele telefonie;
systeem: het geheel aan computerhardware, computersoftware en gegevensverzamelingen die beschikbaar en benaderbaar zijn via het netwerk;
netwerk: een systeem voor communicatie tussen elektronische communicatiemiddelen;
e-mailfaciliteiten: de door of namens de gemeente aan politieke ambtsdragers of medewerkers ter beschikking gestelde e-mailfaciliteiten;
internetfaciliteiten: de door of namens de gemeente aan politieke ambtsdrager of medewerkers ter beschikking gestelde internetfaciliteiten;
vaste telefonie: de door of namens de gemeente aan politieke ambtsdrager of medewerkers ter beschikking gestelde telefonie, die plaatsvindt via het vaste netwerk;
mobiele telefonie: de door of namens de gemeente aan politieke ambtsdrager of medewerkers ter beschikking gestelde telefonie, die plaatsvindt via het mobiele netwerk;
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van de WBP;
verwerken van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
verantwoordelijke: het college, zijnde het bestuursorgaan dat het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
systeembeheerder: degene die functioneel en technisch zorg draagt voor de elektronische informatiesystemen;
onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen: een doen of nalaten in strijd met dit Privacyreglement of andere wet- en regelgeving of een inbreuk op een recht.
1. Dit Privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van elektronische communicatiemiddelen. Dit Privacyreglement geeft de wijze aan waarop in de gemeente wordt omgegaan met elektronische communicatiemiddelen en omvat regels ten aanzien van verantwoord gebruik hiervan en regels over de wijze waarop controle hiervan plaatsvindt.
2. Dit Privacyreglement geldt voor politieke ambtsdragers en werknemers in dienst van de gemeente en personen die (betaalde of niet-betaalde) werkzaamheden voor de gemeente verrichten, anders dan in ambtelijk dienstverband.
3. Dit Privacyreglement is van toepassing ongeacht de locatie waar de werkzaamheden op het systeem of het netwerk worden verricht.
De verwerking van persoonsgegevens inzake het gebruik van de elektronische communicatiemiddelen heeft de volgende doeleinden:
het verkrijgen van inzicht in de mate van gebruik van de elektronische communicatiemiddelen;
het voorkomen van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen;
het beveiligen van het systeem en het netwerk.
1. Door de verantwoordelijke worden de nodige maatregelen getroffen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn.
2. Door de verantwoordelijke worden passende technische en organisatorische maatregelen ten uitvoer gelegd om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
3. Door de verantwoordelijke worden één of meerdere systeembeheerders aangewezen die belast zijn met het beheer van de bestanden. Deze systeembeheerders zijn, op grond van artikel 125a, derde lid, Ambtenarenwet, verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voorzover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
1. Medewerkers gebruiken de elektronische communicatiemiddelen primair voor het uitvoeren van de aan hen door de gemeente opgedragen taken.
2. Politieke ambtsdragers gebruiken de elektronische communicatiemiddelen primair voor de uitvoering van hun politieke functie in de gemeente.
3. Incidenteel privé-gebruik van de elektronische communicatiemiddelen door gebruiker is toegestaan mits het gebruik in overeenstemming is met het Privacyreglement en het gebruik in geen geval storend is voor dan wel ten koste gaat van het uitvoeren van zijn politieke functie respectievelijk van de aan hem door de gemeente opgedragen taken.
4. Het is gebruiker niet toegestaan met behulp van de e-mailfaciliteiten kettingbrieven te versturen of pornografisch materiaal te versturen of op te vragen, dan wel aanstootgevende, dreigende, lasterlijke, seksueel intimiderende, onzedelijke, racistische of discriminerende opmerkingen te maken. Evenmin is het gebruiker toegestaan met behulp van de e-mailfaciliteiten illegale software te verzenden of op te vragen dan wel bestanden zonder voorafgaand overleg met de systeembeheerder(s) te verzenden of op te vragen waarvan medewerker redelijkerwijs moet aannemen dat deze te omvangrijk zijn.
5. Het is gebruiker niet toegestaan met behulp van de internetfaciliteiten bewust internetsites te bezoeken die pornografisch, dan wel racistisch materiaal bevatten of die naar algemeen maatschappelijke maatstaven als lasterlijk, beledigend, aanstootgevend, onzedelijk of oneervol worden beschouwd, mee te doen in chat-sessies, on line te gokken, illegale software te downloaden dan wel zonder voorafgaand overleg met de systeembeheerder(s) bestanden te downloaden waarvan gebruiker redelijkerwijs moet aannemen dat deze te omvangrijk zijn.
6. Zonder voorafgaande toestemming van de systeembeheerder(s) is het gebruiker niet toegestaan met behulp van de e-mailfaciliteiten een elektronisch bericht aan alle of vrijwel alle gebruikers van de gemeente tegelijkertijd te versturen.
7. Indien gebruiker met gebruik van de internetfaciliteiten handelingen verricht die als e-mailtoepassingen zijn te kwalificeren, dan zijn de bepalingen van artikel 5, derde en vijfde lid, van overeenkomstige toepassing.
8. Medewerkers zullen bij het gebruik van de elektronische communicatiemiddelen de nodige zorgvuldigheid betrachten en de integriteit en goede naam van de gemeente waarborgen. Hierbij wordt het bepaalde in de Gedragsregels voor het gebruik van elektronische communicatiemiddelen in acht genomen [Red: de Gedragsregels zijn in de bijlage opgenomen].
1. Controle door verantwoordelijke op het gebruik van de elektronische communicatiemiddelen vindt slechts plaats in het kader van de in artikel 3 genoemde doeleinden. Deze doeleinden stellen beperkingen aan de omvang en wijze van controle.
Controle ter verkrijging van inzicht in de mate van gebruik van de elektronische communicatiemiddelen wordt beperkt tot de verkeersgegevens (tijd, hoeveelheid, omvang en dergelijke).
Controle ter voorkoming van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen wordt zo beperkt mogelijk gehouden, in die zin dat deze in redelijke verhouding staat tot het doel waarvoor deze wordt aangewend. Bovendien vindt de controle in beginsel geanonimiseerd en slechts steekproefsgewijs plaats.
Controle in het kader van het beveiligen van het systeem en het netwerk voor het tegengaan van virussen en andere schadelijke programma's vindt op geautomatiseerde wijze plaats.
2. Controle vindt in beginsel plaats op het niveau van getotaliseerde gegevens die niet herleidbaar zijn tot individuele personen. Controle ter verkrijging van inzicht in de mate van het gebruik van de elektronische communicatiemiddelen kan echter ook op gebruikersniveau plaatsvinden. Indien een gebruiker of een groep gebruikers wordt verdacht van het overtreden van regels, kan gedurende een vastgestelde (korte) periode gerichte controle op de inhoud plaatsvinden.
3. Controle beperkt zich in principe tot verkeersgegevens van het gebruik van de elektronische communicatiemiddelen.
4. Bij zwaarwegende redenen vindt er, met uitzondering van de categorie mobiele telefonie, controle op de inhoud plaats.
5. De controle op de inhoud vindt plaats naar aanleiding van gerechtvaardigde vermoedens dan wel constatering van onjuist gebruik als bedoeld in de artikelen van dit reglement. Gericht onderzoek heeft als hoofdoelen:
het vaststellen van oneigenlijk ICT- en internetgebruik;
het controleren van gemaakte afspraken over het (verboden) gebruik;
het controleren of de inhoud voldoende wordt beschermd en niet openbaar worden of zijn gemaakt.
het voorkomen van negatieve publiciteit over de Gemeente.
6. De gebruiker wordt schriftelijk geïnformeerd over de resultaten van het onderzoek. Indien het onderzoek geen aanleiding geeft tot verdere maatregelen wordt het schriftelijk verslag vernietigd.
7. Onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen wordt zo veel mogelijk softwarematig onmogelijk gemaakt.
1. Het gebruik van de elektronische communicatiemiddelen door politieke ambtsdragers is in beginsel uitgesloten van controle. Dit geldt niet voor de controle op de veiligheid van het elektronische verkeer.
2. De burgemeester kan, indien er een redelijk vermoeden bestaat van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen, de beheerder opdracht geven bij een bepaalde betrokkene voor een aangegeven periode een omschreven controle op zijn gebruik van de elektronische communicatiemiddelen toe te passen. De beheerder brengt over de controle direct rapport uit aan de burgemeester.
3. Indien de controle aanleiding geeft tot het nemen van maatregelen, wordt de rapportage door de burgemeester aan het seniorenconvent ter afhandeling overgedragen.
1. De controle op de inhoud vindt plaats na schriftelijke opdracht van de leidinggevende aan de beheerder, en wordt uitgevoerd door een daartoe aangewezen persoon. In de opdracht van de leidinggevende wordt vermeld waarom het onderzoek plaats vindt en waarom - voor zover dit aan de orde is - de gebruiker pas achteraf van het onderzoek op de hoogte wordt gesteld. Indien geconstateerd wordt dat een medewerker dit Privacyreglement overtreedt, dan wordt de betrokken medewerker zo spoedig mogelijk hierop aangesproken door de leidinggevende.
2. Voordat de leidinggevende de schriftelijke opdracht aan de beheerder verstrekt, legt hij de opdracht ter instemming voor aan de gemeentesecretaris.
2. Het gebruik van de elektronische communicatiemiddelen door OR-leden, GO-leden, bedrijfsartsen en andere medewerkers met een vertrouwensfunctie zijn in beginsel uitgesloten van controle. Dit geldt niet voor de controle op de veiligheid van het elektronische verkeer.
1. Persoonsgegevens, gerelateerd aan de elektronische communicatiemiddelen, worden maximaal zes maanden bewaard. Gegevens die ouder zijn dan zes maanden worden automatisch verwijderd, tenzij er bijzondere redenen zijn, bijvoorbeeld een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen, om de gegevens langer te bewaren. Dat moet dan expliciet kunnen worden gemaakt en worden gemeld aan het Cbp.
2. Indien de systeembeheerder om technische redenen persoonsgegevens, gerelateerd aan de elektronische communicatiemiddelen, niet kan verwijderen, wordt onder verwijderen verstaan het niet meer verstrekken van deze gegevens voor de in artikel 3 geformuleerde doeleinden.
1. Aan de gebruiker die daarom aan verantwoordelijke verzoekt wordt een overzicht verschaft van de hem betreffende persoonsgegevens die worden verwerkt.
2. De gebruiker kan de verantwoordelijke verzoeken zijn persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.
3. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het in het tweede lid genoemde verzoek schriftelijk of, dan wel in hoeverre, hij daaraan voldoet. Een weigering is met redenen omkleed. Een beslissing op een verzoek geldt als een besluit in de zin van artikel 1:3, Algemene wet bestuursrecht.
4. De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.
1. Overtreding van dit Privacyreglement kan voor werknemers in dienst van de gemeente resulteren in disciplinaire maatregelen of ontslag als disciplinaire straf als bedoeld in de Arbeidsvoorwaardenregeling van de gemeente.
2. Overtreding van dit Privacyreglement kan voor personen die (betaalde of niet-betaalde) werkzaamheden voor de gemeente verrichten, anders dan in ambtelijk dienstverband, resulteren in:
maatregelen waardoor deze personen, al dan niet tijdelijk, geen beschikking meer hebben over (een deel van) de elektronische communicatiemiddelen;
maatregelen die leiden tot ontbinding van de overeenkomst die de grondslag vormt voor het verrichten van werkzaamheden bij de gemeente.
3. Overtreding van dit Privacyreglement kan voor politieke ambtsdragers resulteren in:
waarschuwing door het seniorenconvent;
maatregelen genomen door het seniorenconvent, waardoor deze personen al dan niet tijdelijk, geen beschikking meer hebben over (een deel van) de elektronische communicatiemiddelen.
4. Bij strafbare feiten kan door of vanwege de gemeente aangifte worden gedaan.
Schade die is ontstaan doordat een gebruiker in strijd met dit protocol heeft gehandeld, zal door de verantwoordelijke op die gebruiker worden verhaald.
1. Voor politieke ambtsdragers geldt dat in gevallen waarin dit Privacyreglement niet voorziet of bij twijfel over de toepassing van dit Privacyreglement, het seniorenconvent beslist.
2. Voor medewerkers geldt dat in gevallen waarin dit Privacyreglement niet voorziet of bij twijfel over de toepassing van dit Privacyreglement, het college beslist.
1. Dit Privacyreglement wordt verstrekt of ter beschikking gesteld aan alle gebruikers die, direct of indirect, de beschikking krijgen over elektronische communicatiemiddelen.
2. Dit Privacyreglement treedt in werking op de dag na bekendmaking.
3. Deze regeling kan worden aangehaald als: 'Privacyreglement elektronische communicatiemiddelen.
4. Dit Privacyreglement wordt tweejaarlijks geëvalueerd door de verantwoordelijke, het seniorenconvent en de ondernemingsraad.
Onverminderd het bepaalde in dit Privacyreglement, zal op het verwerken van persoonsgegevens de Wet bescherming persoonsgegevens van toepassing zijn.
[Red: de in artikel 5, achtste lid, bedoelde Gedragsregels zijn door het college van burgemeester en wethouders vastgesteld, tegelijk met het besluit tot vaststelling van het Privacyreglement elektronische communicatiemiddelen. Hierbij is de Gedragscode ICT 2007 ingetrokken. De nieuwe regels luiden als volgt.]
Gedragsregels voor het gebruik van elektronische communicatiemiddelen
Hoofdstuk 1 Definities
Toegangscode: de door de werkgever verleende gebruikersnaam in combinatie met een wachtwoord.
Apparatuur: computer of ander digitaal apparaat welke gebruik maakt of kan maken van het ICT-netwerk.
Medewerker: degene die aan te merken is als:
werknemer in dienst van de gemeente ;
persoon die (betaalde of niet-betaalde) werkzaamheden voor de gemeente verricht, anders dan in ambtelijk dienstverband.
Gemeentelijke apparatuur: eigendom van de gemeente.
Privéapparatuur: eigendom van de medewerker.
Bericht: een besluit, maar ook een eenvoudige mededeling, een uitnodiging voor een hoorzitting etc.
ICT-netwerk: het geheel van twee of meer aan elkaar gekoppelde computers.
DIA: Documentenbeheer, Informatievoorziening en Automatisering.
Vergrendelen: bij het verlaten van de werkplek de apparatuur afsluiten voor gebruik.
Hoofdstuk 2 Toegang tot het Spijkenisser ICT-Netwerk
Afhankelijk van de werkzaamheden die de medewerker verricht krijgt hij/zij een toegangscode tot (delen van) het ICT-netwerk. Aanmelden op het gemeentelijk netwerk is alleen toegestaan met de persoonlijke toegangscode.
De toegangscode is persoonlijk en vertrouwelijk.
Indien het vermoeden bestaat dat de vertrouwelijkheid van het wachtwoord niet meer intact is, dient de medewerker het wachtwoord te wijzigen.
Het is niet toegestaan de toegangscode op enigerlei wijze vast te leggen.
Wanneer een wachtwoord vergeten is kan een nieuw wachtwoord worden aangevraagd via het Servicepunt.
Indien een document van een niet aanwezige medewerker noodzakelijk is voor de voortzetting van het werk, kan het document op aanvraag van de leidinggevende met behulp van de afdeling DIA gekopieerd worden naar een toegankelijke directory. De afdeling DIA stelt de eigenaar van het document door middel van een e-mailbericht op de hoogte van de uitgevoerde actie.
Een medewerker mag niet aanloggen op het ICT-netwerk met de intentie de integriteit van netwerk, apparatuur, programmatuur en gegevens in gevaar te brengen.
Hoofdstuk 3 Gebruik gemeentelijke apparatuur/programmatuur
Op gemeentelijke apparatuur mag alleen gebruik worden gemaakt van geautoriseerde, door de gemeente verstrekte versies van programmatuur.
Het installeren, kopiëren en/of downloaden van programmatuur is alleen toegestaan na uitdrukkelijke toestemming van de afdeling DIA.
Wanneer medewerkers van mening zijn dat zij een bepaald programma/product voor de uitoefening van hun taak nodig hebben, wordt door de leidinggevende een verzoek ingediend bij de afdeling DIA.
Het is niet toegestaan om programmatuur in eigendom van de gemeente Spijkenisse ter beschikking te stellen aan derden behoudens de uitdrukkelijke toestemming hiervoor van het hoofd van de afdeling DIA.
Bij het verlaten van de werkplek moet de gemeentelijke apparatuur worden uitgezet of ‘vergrendeld’.
Aan een medewerker bij de gemeente Spijkenisse kan mobiele apparatuur ter beschikking worden gesteld voor het uitvoeren van werkzaamheden, hiertoe gelden de volgende voorschriften:
de medewerker is verantwoordelijk voor en draagt er zorg voor, dat de programmatuur en de gegevens niet ontvreemd of voor andere doeleinden aangewend worden dan waarvoor ze ter beschikking zijn gesteld;
de gemeentelijke apparatuur mag niet onbeheerd in een auto of een openbare ruimte worden achtergelaten;
in geval van ontvreemding of verlies wordt zo spoedig mogelijk melding gedaan aan het hoofd DIA en de leidinggevende;
de medewerker mag geen gevoelige/geheime gegevens op de mobiele apparatuur opslaan, tenzij deze gegevens beschermd zijn;
er moet een toegangsbeveiliging worden aangebracht om te voorkomen dat gegevens toegankelijk zijn voor niet geautoriseerde personen;
de mobiele gemeentelijke apparatuur moet zo goed mogelijk beschermd worden tegen kwaadwillende programmatuur.
Indien een medewerker vermoedt dat er sprake is van een mogelijk beveiligingsprobleem of verdachte werking van gemeentelijke apparatuur of programmatuur constateert, zal hiervan direct melding worden gedaan bij het Servicepunt.
Hoofdstuk 4 Gebruik privéapparatuur / programmatuur
Privéapparatuur mag alleen gebruikt worden om contact te maken met het gemeentelijke ICT-netwerk indien er geen mogelijk beveiligingsprobleem of verdachte werking van de privéapparatuur en daarop draaiende programmatuur is geconstateerd door de medewerker.
Indien een medewerker bij het (recent)gebruik van privéapparatuur vermoedt dat er sprake is van een mogelijk beveiligingsprobleem of verdachte werking van de privéapparatuur en daarop draaiende programmatuur constateert, moet hiervan direct melding worden gemaakt bij het Servicepunt.
De medewerker mag geen gevoelige/geheime gegevens met betrekking tot de uitoefening van zijn taak op de privéapparatuur opslaan, tenzij deze gegevens afdoende beschermd zijn.
Er moet door de medewerker een toegangsbeveiliging op de privéapparatuur zijn aangebracht om te voorkomen dat gegevens met betrekking tot de uitoefening van zijn taak toegankelijk zijn voor niet geautoriseerde personen.
De privéapparatuur moet door de medewerker zo goed mogelijk beschermd worden tegen kwaadwillende programmatuur en onrechtmatig gebruik.
Hoofdstuk 5 E-mailgebruik
Medewerkers kunnen gebruik maken van een door de gemeente beschikbaar gesteld e-mailadres.
De berichten die naar een persoonlijk ‘spijkenisse.nl’ e-mailadres worden gezonden, worden opgeslagen in een ‘persoonlijke postbus’. De medewerker draagt er zorg voor dat deze postbus niet ‘vol’ loopt.
Een e-mailbericht staat alleen gelijk aan schriftelijk bericht per post als de geadresseerde heeft aangegeven dat hij voldoende langs elektronische weg (e-mail) bereikbaar is.
Een bericht kan in principe via e-mail worden verzonden, tenzij dit bij een wettelijke regeling verboden is of de inhoud zich tegen verzending via e-mail verzet.
Als tijdstip waarop een e-mailbericht door een medewerker is verzonden, geldt het tijdstip waarop het bericht een systeem voor gegevensverwerking bereikt waarop de medewerker geen controle heeft of, het tijdstip waarop het bericht toegankelijk wordt voor de geadresseerde.
Als tijdstip waarop een e-mailbericht door een medewerker is ontvangen, geldt het tijdstip waarop het bericht de gemeentelijke e-mail server voor gegevensverwerking heeft bereikt.
Een medewerker kan een e-mailbericht weigeren voor zover de betrouwbaarheid van dit bericht onvoldoende is gewaarborgd, gelet op de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt. De medewerker deelt een weigering op grond hiervan zo spoedig mogelijk aan de afzender mee.
De medewerkers die gebruik maken van een ‘spijkenisse.nl’ e-mailadres zijn verplicht om bij een geplande afwezigheid van meerdere dagen gebruik te maken van de mogelijkheid om de afwezigheidassistent in te schakelen.
De regels die gelden ten aanzien van het registreren van inkomende en uitgaande schriftelijke berichten worden ook voor e-mailberichten toegepast.
Vooraf
Binnen gemeenten wordt veel gebruikgemaakt van e-mail en internet. Om het gebruik van e-mail en internet in goede banen te leiden, kunnen gedragscodes en gebruiksregels worden opgesteld die door middel van controle worden gehandhaafd. Elektronische controle van computergebruik raakt echter het terrein van de bescherming van de persoonlijke levenssfeer van de medewerker.
Het controleren van e-mail- en internetgebruik is een zogenaamd personeelsvolgsysteem. Voor de invoering van een personeelsvolgsysteem en een Privacyreglement is op grond van artikel 27, eerste lid, onder k en l, van de Wet op de ondernemingsraden, de instemming van de ondernemingsraad (OR) vereist. Dit geldt ook voor een eventuele latere wijziging of bij intrekking van het reglement. Na instemming van de OR kan het reglement op de voor gemeenten gebruikelijke wijze worden vastgesteld en ingevoerd.
Een verantwoordelijke is verplicht om de verwerking van persoonsgegevens te melden bij het College bescherming persoonsgegevens (Cbp) voordat hij begint met de verwerking. In het zogenaamde Vrijstellingsbesluit staan eisen geformuleerd waaraan de verwerkingen moeten voldoen, wil de vrijstelling van de meldingsverplichting daadwerkelijk gelden. Op basis van het Vrijstellingsbesluit valt controle op het gebruik van e-mail en internet onder de vrijstelling mits voldaan wordt aan de vereisten van het Vrijstellingsbesluit. Deze vereisten houden in dat geen andere persoonsgegevens worden verwerkt dan: a) gegevens ten behoeve van identificatie van en communicatie (username en toegangscode) met de gebruikers binnen het netwerk; b) gegevens met betrekking tot bevoegdheden van de gebruikers en de netwerkbeheerders met het oog op de aangeboden faciliteiten en diensten van het netwerk; c) gegevens met betrekking tot de verrichtingen van de gebruikers en netwerkbeheerders en d) gegevens met betrekking tot elektronische berichten van of voor de gebruikers. Daarnaast geldt dat de persoonsgegevens slechts worden verstrekt aan degenen die belast zijn met de interne controle en beveiliging (de doeleinden van de verwerking), met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen. Bovendien dienen de persoonsgegevens uiterlijk zes maanden nadat ze zijn verkregen te worden verwijderd dan wel twee jaar nadat het dienstverband of de werkzaamheden van betrokkenen ten behoeve van de verantwoordelijke zijn beëindigd. Ten slotte geldt dat de OR aan de controle instemming heeft verleend.
Artikel 1 Definities
De begrippen zoals die in het Privacyreglement voorkomen worden hier gedefinieerd. Voor de omschrijving van begrippen is waar mogelijk aangesloten bij de bewoording die wordt gebruikt in de WBP.
Artikel 2 Reikwijdte
Het Privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van e-mail en/of internetfaciliteiten.
Het Privacyreglement geldt voor medewerkers van de gemeente, zowel ambtenaren en personen die(betaald of niet-betaald) werkzaamheden voor de gemeente verrichten, anders dan in ambtelijk dienstverband en voor politieke ambtsdragers, collegeleden en raadsleden.
Telewerken
Indien de gebruiker vanuit zijn eigen huis inlogt op het computersysteem van het werk (telewerken), dan vormt de controle door de werkgever op het gebruik door de gebruiker van de elektronische communicatiemiddelen een extra probleem. Voor zover de gebruiker uitsluitend ten behoeve van het werk inlogt, zullen de regels in dit Privacyreglement van overeenkomstige toepassing zijn. De computer van de gebruiker thuis maakt dan immers logisch gezien deel uit van het computernetwerk van de werkgever en de gebruiker bevindt zich in een situatie waarin ook de gezagsbevoegdheid vande werkgever geldt.
Vaste telefonie
Het is niet toegestaan telefoongesprekken op te nemen, tenzij de gemeente aan een aantal voorwaarden voldoet. Een gebruiker heeft het recht om op de werkplek in beperkte mate gebruik te maken van de telefoon voor privé-communicatie. De gemeente behoort de privacy van die contacten te waarborgen. Controle op het telefoongebruik is slechts toegestaan als de gemeente een gerechtvaardigd belang heeft (artikel 8, onder f WBP). De gemeente dient daarbij wel de belangen van de gebruikers mee te wegen.
Indien een gebruiker of een groep gebruikers ervan verdacht wordt de regels te overtreden, kan gedurende een vastgestelde (korte) periode gerichte controle op de zakelijke telefoongesprekken plaatsvinden. Controle beperkt zich in principe tot de gegevens over het telecommunicatieverkeer. Dat zijn gegevens die informatie geven over wie, wanneer en met wie iemand telefoneert. Alleen indien noodzakelijk mag er controle op de inhoud plaatsvinden. De gemeente dient de medewerker van tevoren te informeren over het registreren en opnemen van telefoongesprekken.
De bepaling inzake controle (artikel 6) kan dus van overeenkomstige toepassing worden verklaard op het gebruik van de vaste telefoon.
Mobiele telefonie
Naast de vaste telefoon op de werkplek kunnen werknemers in verband met de uitoefening van hun functie ook gebruikmaken van mobiele telefoons. Hiervoor kunnen werkgevers tevens gedragsregels opstellen. Voor medewerkers zijn er Gedragregels voor het gebruik van elektronische communicatiemiddelen gemaakt.
Controle kan bij mobiele telefonie niet plaatsvinden door een eigen personeelvolgsysteem, maar slechts indien het telecombedrijf een gespecificeerde nota aan de werkgever verstrekt. Controle op de inhoud door de werkgever is niet mogelijk.
De bepaling inzake controle (artikel 6) kan niet eenvoudig van overeenkomstige toepassing worden verklaard op het gebruik van de mobiele telefoon, omdat dit dan een gekunstelde constructie zou worden.
Het abonnement van een mobiele telefoon kan zowel op naam van de werknemer als op naam van de werkgever staan. In het geval dat de mobiele telefoon op naam van de werkgever staat, ontvangt hij zelf gegevens over het telefoongebruik in verband met de betaling van de kosten. Het (verder) gebruik van deze gegevens is gebonden aan de bepalingen van de WBP.
Artikel 3 Doeleinden
De WBP bepaalt dat gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze moeten worden verwerkt (artikel 6 WBP). Dit voorschrift geldt in zoverre als de privacyrechtelijke evenknie van de arbeidsrechtelijke norm van goed werkgeverschap. Persoonsgegevens mogen voorts slechts voor welbepaalde, duidelijk omschreven en gerechtvaardigde doeleinden worden verwerkt (artikel 7 WBP). Deze doelomschrijving moet nauwkeurig en zo volledig mogelijk zijn (zie ook artikel 4, eerste lid Privacyreglement). In overleg moet worden vastgesteld welke doeleinden voor controle van e-mail- en internetgebruik noodzakelijk zijn voor de eigen organisatie. Controle via volgsystemen is dus alleen toegestaan indien het doel van de controle vooraf is bepaald. Als grondslag van de controle kan doorgaans het gerechtvaardigd belang van de organisatie worden aangewezen (artikel 8, onder sub f WBP). De privacybelangen van de medewerkers horen hierbij dan wel meegewogen te worden. De aard, omvang en vorm van de controlemaatregelen dienen dus in een redelijke verhouding tot het doel van de controle te staan (proportionaliteit), (zie ook artikel 6, eerste lid, onder sub b en de toelichting). Tevens geldt dat de gebruikte controlemiddelen niet meer inbreuk mogen maken op de belangen van de medewerker dan strikt noodzakelijk is (subsidiariteit). In het Privacyreglement zijn drie doeleinden geformuleerd.
Artikel 4 Verantwoordelijkheden en beheer
Artikel 4, eerste lid
Op de werkgever wordt geen absolute verplichting gelegd. Een garantie voor de juistheid van gegevens kan van de werkgever niet worden gevergd. De juistheid van de gegevens wordt mede bepaald door de context waarin ze worden gebruikt. Met 'nodige' maatregelen wordt uitgedrukt dat alle maatregelen moeten worden getroffen die in redelijkheid kunnen worden gevergd. De redelijkheid stelt daarbij, afhankelijk van bijvoorbeeld de soort gegevens die onderwerp van verwerking zijn, de stand van de techniek en de kosten die met de maatregelen gepaard gaan, grenzen aan de te nemen maatregelen.
Artikel 4, tweede lid
Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Artikel 4, derde lid
Een of meer systeembeheerders zijn met het beheer van de bestanden belast. De systeembeheerder heeft uit hoofde van zijn functie toegang tot alle gegevens in het computernetwerk. De functie van systeembeheerder dient met de nodige waarborgen te worden omgeven. De systeembeheerder moet zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, geheim dient te houden. Die verplichting lijdt uitzondering indien enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit. De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten of e-mail of het meekijken met het internetgebruik van de medewerkers zonder dat daar een bijzondere aanleiding voor is.
De systeembeheerder dient tegenover het management een zekere onafhankelijkheid te hebben. Er moet dus een heldere procedure te bestaan over wie in welke gevallen de systeembeheerder opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen.
Back-ups
In het kader van zorgvuldigheid zullen regelmatig back-ups van de systemen worden gemaakt die in geval van calamiteiten eenvoudig kunnen worden teruggezet. Dit betekent dat van logbestanden en andere gegevens over het e-mail- en internetgedrag van medewerkers een back-up wordt gemaakt. De werkgever moet zich ervan bewust zijn dat onzorgvuldig of onbevoegd gebruik van deze back-ups even schadelijk kan zijn voor de persoonlijke levenssfeer van de medewerker als onzorgvuldig of onbevoegd gebruik van het actuele systeem. Back-ups dienen daarom op een veilige plaats bewaard te worden. Nadat gegevens zijn aangepast moet zo snel mogelijk een nieuwe back-up gemaakt worden en moeten oude versies worden vernietigd, zodat de gegevens niet na een eventuele terugplaatsing van een back-up nogmaals moeten worden aangepast.
Artikel 5 Gebruik elektronische communicatiemiddelen
In het Privacyreglement worden gedragsregels opgenomen over wat er in de organisatie onder verantwoord e-mail- en internetgebruik wordt verstaan en over wat niet is toegestaan bij een verantwoord e-mail- of internetgebruik. In dit kader wordt verwezen naar de Gedragsregels voor het gebruik van elektronische communicatiemiddelen en de Regeling mobiele telefonie.
Een totaal verbod van privé-gebruik van de elektronische communicatiemiddelen is overigens niet mogelijk. Er is een duidelijke uitspraak gedaan over de huidige 'privétisering' van de werkplek. Dat houdt in dat een bepaalde mate van niet-zakelijk e-mail- en internetgebruik onder werktijd niet kan worden verboden. (Kantonrechter Haarlem, 16 juni 2000, Jurisprudentie Arbeidsrecht 2000, 170).
Artikel 6 Controle
Artikel 6, eerste lid, onder sub a
Voor het verkrijgen van inzicht in de mate van gebruik van de elektronische communicatiemiddelen zal in het kader van kosten- en capaciteitsbeheersing de controle beperkt kunnen blijven tot verkeersgegevens. Kennisneming van de inhoud is dan niet noodzakelijk.
Het is echter ook mogelijk dat u inzicht wilt hebben in de meest bezochte internetsites, bijvoorbeeld in de vorm van een top tien. Daarvoor zal wel kennisgenomen dienen te worden van inhoudelijke gegevens. Indien dit wenselijk is, dan dient u het eerste lid, onder sub a, aan te passen.
Artikel 6, eerste lid, onder sub b
De genomen maatregelen dienen in redelijke verhouding te staan tot de belangen van de medewerker en de gebruikte middelen mogen niet een verdergaande inbreuk maken op die belangen dan strikt noodzakelijk is (proportionaliteit en subsidiariteit). Steeds zal hiertoe een belangenafweging moeten plaatsvinden. Het doel rechtvaardigt dus niet een continue controle en de daarmee gepaard gaande verregaande inbreuk op de persoonlijke levenssfeer van de werknemer. In beginsel zal de controle op naleving slechts steekproefsgewijs mogen geschieden.
De gemeente Spijkenisse maakt gebruik van content filtering. Content filtering kan alleen worden ingezet als de zoektermen vanuit het belang van de gemeente gerechtvaardigd zijn en ook zo nauwkeurig zijn dat gerechtvaardigd gebruik zo veel mogelijk ongemoeid wordt gelaten. Mits het met de nodige zorgvuldigheid wordt ingezet, zal content filtering als controlemiddel in mindere mate inbreuk maken op de privacy en de communicatievrijheid van de gebruiker dan andere vormen van controle, zoals volledige inhoudscontrole of steekproefsgewijze inhoudscontrole. Met behulp van content filtering zal verboden gebruik waarbij berichten worden opgesteld in codetaal of met versleuteling, niet kunnen worden opgespoord.
Artikel 6, eerste lid, onder sub c
Vanuit beveiligingsoogpunt is het wenselijk om e-mail- en internetgebruik te controleren. Het kan dan gaan om het tegengaan van systeemaanvallen door virussen, trojans of andere schadelijke programma's.
Ook een geheel geautomatiseerde controle van de inkomende internetcontent verdient voor dit doel de voorkeur. Indien het voor de inhoud van de functie van de medewerkers niet noodzakelijk is dat zij steeds toegang hebben tot internet, kan dit doel eenvoudig bereikt worden door de toegang aan te bieden op aparte computers die niet aan het interne netwerk zijn verbonden.
Artikel 6, eerste lid, onder sub d
Indien in artikel 3 meer doeleinden worden ingevuld (zie artikel 3, toelichting), dient artikel 6, eerste lid ook te worden uitgebreid met de controle op deze doeleinden.
Artikel 6, tweede lid
Het is in het algemeen niet noodzakelijk om het management rapportages en gebruiksstatistieken van het e-mail- en internetgebruik van de medewerkers op persoonsniveau te verstrekken. De gegevens in de rapportages en statistieken zullen dus meestal ontdaan kunnen worden van hun identificerende kenmerken. Alleen als er concrete bedenkingen bestaan tegen een bepaalde medewerker, is rapportage op persoonsniveau noodzakelijk en dan ook toegestaan.
Artikel 6, derde lid
In principe is de controle van de elektronische communicatiemiddelen beperkt tot de verkeersgegevens. Dit zijn gegevens met betrekking tot datum, tijd, hoeveelheid en omvang. Slechts bij zwaarwegende redenen wordt er inhoudelijk gecontroleerd.
Artikel 6, vijfde lid
Een bepaalde tijd voor opbouw van het dossier is toegestaan indien de omstandigheden daartoe aanleiding geven. Indien de gebruiker op zijn handelen in strijd met het Privacyreglement wordt aangesproken, is het raadzaam dat hij gewaarschuwd wordt voor de (rechtspositionele) gevolgen bij continuering van dit gedrag. U dient in een toelichting aan te geven wie de medewerker op zijn gedrag aanspreekt.
Artikel 6, zevende lid
Het onmogelijk maken van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen kan worden ingebouwd in de software die wordt gebruikt om te e-mailen of te internetten. Vaak zal dit kunnen door content filtering (scannen van berichten of bestanden op verboden woorden, extensies, beeldmateriaal), door het afsluiten van websites of nieuwsgroepen, het stoppen van de doorgifte, etc. Overtreding van het Privacyreglement wordt hiervoor dan feitelijk vrijwel onmogelijk gemaakt en er is geen grond meer voor actieve controle en logging op het gebruik van de elektronische communicatiemiddelen.
Ook is het mogelijk om toepassingen volledig af te sluiten door de daarvoor benodigde software zelf niet aan te bieden. Het door de verantwoordelijke onmogelijk maken van onrechtmatig gebruik is natuurlijk geen vrijbrief om indien bepaald gebruik wel softwarematig mogelijk is, deze ook te gebruiken. De regeling met betrekking tot het toegestaan gebruik zoals geformuleerd in artikel 5 blijft onverminderd van kracht.
Artikel 7 Controle politieke ambtsdragers
Deze bepaling betreft de communicatie per e-mail internet en telefoon van de politieke ambtsdragers. Tussen de raadsleden en de verantwoordelijke bestaat geen gezagsrelatie. Ditzelfde geldt voor de collegeleden ten opzichte van de verantwoordelijke. De verantwoordelijke kan zijn gezagsbevoegdheid dus niet aanwenden om het e-mail-, internet en telefoongebruik van de politieke ambtsdragers te controleren (artikel 6, lid 1 sub a en b). Controle in het kader van het beveiligen van het systeem en netwerk vindt wel (op geautomatiseerde wijze) plaats.
Artikel 7 lid 2 en 3
Het betreft hier geen absoluut verbod. Er kan van worden afgeweken in bepaalde situaties waarbij de het Privacyreglement wordt overtreden. Men kan bijvoorbeeld denken aan het lekken van geheime c.q. vertrouwelijke stukken.
Artikel 8 Controle medewerkers
Dit artikel bevat een nadere uitwerking van lid 4 en 5 van artikel 6.
Artikel 8 lid 2
De leidinggevende heeft de verplichting om een voornemen tot onderzoek voor instemming voor te leggen aan de gemeentesecretaris.
Artikel 8 lid 3
Deze bepaling betreft de communicatie per e-mail, internet en telefoon van leden van de OR ten behoeve van hun OR-werkzaamheden. Op grond van artikel 17 Wet Ondernemingsraden (WOR) hebben zij het recht om onderling te overleggen met gebruik van voorzieningen waarover het OR-lid als zodanig kan beschikken. De wetsgeschiedenis van artikel 17 WOR maakt helder dat tussen de OR en de werkgever geen gezagsrelatie bestaat. De werkgever kan zijn gezagsbevoegdheid dus niet aanwenden om het e-mailgebruik van OR-leden in functie te controleren. Dit betekent dat op e-mail van, aan en tussen OR-leden in functie de algemene wettelijke regels omtrent vertrouwelijke communicatie van toepassing zijn. In het LOGA d.d. 23 december 2004 is geconcludeerd dat GO-leden (GO: Georganiseerd Overleg) zich in een soortgelijke positie bevinden. Om die reden is besloten de gedragslijn voor OR-leden ook te hanteren voor GO-leden.
Daarmee is dit soort communicatie geprivilegieerd en mag de werkgever er in beginsel geen kennis van nemen.
Het betreft hier echter geen absoluut verbod. Er kan van worden afgeweken in bepaalde situaties van plichtsverzuim, zoals geregeld in artikel 16:1:1 lid 2 van de Uitwerkingsovereenkomst (UWO), waarbij men bijvoorbeeld kan denken aan het lekken van geheime c.q. vertrouwelijke stukken.
Artikel 9 Bewaring en verwijdering
Het is in het algemeen niet nodig om de persoonsgegevens lang te bewaren. De standaardtermijn is daarom zes maanden. In het geval van een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van elektronische communicatiemiddelen, worden de gegevens uit die zes maanden bewaard, zolang dit in het kader van nader onderzoek en eventueel te treffen maatregelen jegens een gebruiker noodzakelijk is. Zodra een nader onderzoek is afgerond en dit niet leidt tot maatregelen jegens een gebruiker worden de gegevens verwijderd.
Artikel 9, tweede lid
Bepaalde gegevens kunnen soms om technische redenen niet worden verwijderd. Van het e-mailsysteem worden bijvoorbeeld back-ups gemaakt die in geval van nood teruggezet kunnen worden. Deze back-ups kunnen niet zonder meer gewist worden. Het is ook niet mogelijk om binnen een dergelijke back-up een individueel e-mailbericht te verwijderen. De bedoelde gegevens mogen in deze gevallen niet meer worden verstrekt (verwerkt).
Artikel 10 Rechten van de medewerker
In artikel 8 worden de rechten van de gebruikers bij het verwerken van persoonsgegevens behandeld. Transparantie is een belangrijk beginsel voor privacybescherming. De informatieplicht is gebaseerd op de artikelen 33 en 34 WBP.
Artikel 11 Sancties
Er is een splitsing gemaakt tussen drie categorieën. Namelijk werknemers in dienst van de gemeente Spijkenisse, personen die (betaalde of niet betaalde)werkzaamheden voor de gemeente verricht en politieke ambtsdragers.
Op werknemers in dienst van de gemeente is de CAR/UWO van toepassing. Ten aanzien van personen die (betaalde of niet betaalde)werkzaamheden voor de gemeente verrichten en politieke ambtsdragers kan omdat er geen gezagsrelatie bestaat slechts beperkt sancties worden opgelegd. Deze liggen op het gebied van de verantwoordelijke als privaatrechtelijk eigenaar van de beschikbaar gestelde elektronische communicatiemiddelen.
Artikel 12 Onvoorziene omstandigheden
Bij onvoorziene omstandigheden beslist het college. Dit artikel behoeft geen nadere uitleg.
Artikel 13 Openbaarmaking, inwerkingtreding en evaluatie
Het Privacyreglement moet helder naar de gebruikers worden gecommuniceerd. De gebruikers moeten weten wat verboden is en wat is toegestaan, dat controle mogelijk is, op welke manier die controle geschiedt en wat de consequenties zijn bij overtreding van het Privacyreglement
Artikel 14 Slotbepaling
Elektronische controle van computergebruik raakt het terrein van de bescherming van de persoonlijke levenssfeer van de gebruiker. Op het controleren van het gebruik van e-mail en internet op de werkplek is daarom de Wet bescherming persoonsgegevens (WBP) van toepassing.