Organisatie | Regio Rivierenland |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Regeling gebruik e-mail, internet en social media Regio Rivierenland |
Citeertitel | Regeling gebruik e-mail, internet en social media Regio Rivierenland |
Vastgesteld door | dagelijks bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Deze regeling vervangt het Reglement e-mail en internetgebruik zoals vastgesteld per 1 juni 2004.
Wet bescherming persoonsgegevens
Geen.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
27-05-2016 | 01-01-2020 | nieuwe regeling | 11-05-2016 Blad Gemeenschappelijke Regeling, 26-05-2016 | 16.0000733 |
Het dagelijks bestuur van Regio Rivierenland,
gelet op het feit dat Regio Rivierenland medewerkers e-mail- en internetfaciliteiten ter beschikking stelt om met behulp daarvan hun werkzaamheden uit te voeren;
gelet op het feit dat aan het gebruik van e-mail en internet risico's zijn verbonden, zoals beschadiging van het netwerk door virussen, het uitlekken van bedrijfsgeheimen en het in diskrediet brengen van de goede naam van Regio Rivierenland;
gelet op de wenselijkheid de regeling voor het gebruik van e-mail en internet te actualiseren en het gebruik van social media hieraan toe te voegen;
gelet op het bepaalde in de Wet bescherming persoonsgegevens;
gelet op het integriteitbeleid van Regio Rivierenland zoals vastgesteld op 18 juni 2014;
gelet op de instemming van de Ondernemingsraad d.d. 9 oktober 2014 en 20 april 2016 ;
vast te stellen de navolgende Regeling gebruik e-mail, internet en social media Regio Rivierenland
In deze regeling wordt verstaan onder:
Bestand: Elk, al dan niet geautomatiseerd, gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.
Cbp: College bescherming persoonsgegevens: het College als bedoeld in artikel 51 Wbp.
Elektronische communicatiemiddelen: e-mail- en/of internetfaciliteiten.
E-mailfaciliteiten: De door of namens Regio Rivierenland aan medewerkers ter beschikking gestelde e-mailfaciliteiten.
Internetfaciliteiten: De door of namens Regio Rivierenland aan medewerkers ter beschikking gestelde internetfaciliteiten.
Medewerker: De ambtenaar bedoeld in artikel 1:1, eerste lid, onder a van de CAR- UWO;
Onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen: een doen of nalaten in strijd met dit reglement of andere wet- en regelgeving of een inbreuk op een recht.
Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van de Wbp.
Social Media: De benaming voor de internet-platformen waar gebruikers de inhoud bepalen. Voorbeelden zijn weblogs, forums, wiki's en sociale netwerken.
Verantwoordelijke: het Dagelijks Bestuur van Regio Rivierenland).
Verwerken van persoonsgegevens: Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval; het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Artikel 4 Gebruik social media
Algemene berichtgeving over Regio Rivierenland wordt altijd via de communicatieadviseur in diverse (social) media geplaatst. Medewerkers mogen uitsluitend gebruik maken van social media indien het werk er niet onder lijdt. Afhankelijk van de functie van een medewerker kan het gebruik van social media meer of minder gewenst zijn. Leidinggevende en medewerker maken hierover concrete afspraken
De medewerker die publiceert op een website (of andere social media) anders dan die van Regio Rivierenland over een onderwerp dat wel te maken kan hebben met Regio Rivierenland, maakt kenbaar dat zij op persoonlijke titel publiceren. Als medewerker namens Regio Rivierenland spreekt, vermeldt hij de organisatie en zijn functie.
Directeur(en) en Secretaris hebben een bijzondere verantwoordelijkheid bij het gebruik van social media. Voor deze functies geldt vaak dat iemand altijd wordt gezien als vertegenwoordiger van Regio Rivierenland – ook als hij/zij een privé- mening verkondigt. Op grond van de positie moeten zij nagaan of zij op persoonlijke titel kunnen publiceren.
De medewerker is persoonlijk verantwoordelijk voor de inhoud die hij, voor zover dat niet tot de functie behoort, publiceert op blogs, wiki’s, fora en andere media die gebaseerd zijn op user-generated content. Medewerker is er zich van bewust dat wat hij publiceert voor langere tijd openbaar zal zijn, met gevolgen voor zijn privacy.
Wanneer medewerker op een persoonlijke blog over het werk schrijft, dient een disclaimer[1] te worden opgenomen waarin staat dat dit blog een persoonlijk standpunt weergeeft en dat dit niet overeen hoeft te komen met dat van de organisatie.
[1] "de hier gepubliceerde uitingen vertegenwoordigen uitsluitend mijn persoonlijke meningen en opvattingen en komen niet noodzakelijkerwijs overeen met die van Regio Rivierenland".
Artikel 5 Voorkomen onrechtmatig gebruik dan wel misbruik
Regio Rivierenland neemt maatregelen in technische zin ter voorkoming van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen. In dit verband kan Regio Rivierenland onder meer de toegang tot bepaalde sites beperken.
Artikel 7 Gebruik elektronische communicatiemiddelen
Medewerkers zullen bij het gebruik van de elektronische communicatiemiddelen de nodige zorgvuldigheid betrachten en de integriteit[2] en goede naam van Regio Rivierenland waarborgen.
[2] Zie het integriteitbeleid Regio Rivierenland, inclusief de onderliggende regelingen, op het intranet van Regio Rivierenland
Indien er een redelijk vermoeden bestaat van onrechtmatig gebruik, dan wel misbruik van de elektronische communicatiemiddelen door medewerker, kan Het Dagelijks Bestuur van Regio Rivierenland opdracht geven om de in het eerste lid, sub e van dit artikel bedoelde gegevens, vast te leggen en te verstrekken aan de personen bedoeld in artikel 11.
Artikel 10 Bewaring en verwijdering
De in artikel 9, eerste lid, genoemde persoonsgegevens worden een maand bewaard. Gegevens die ouder zijn dan een maand worden automatisch verwijderd, tenzij er een redelijk vermoeden bestaat van onrechtmatig gebruik, dan wel misbruik van de elektronische communicatiemiddelen in die periode. In dat geval worden de gegevens uit die betreffende maand bewaard zolang dit in het kader van nader onderzoek en eventueel te treffen maatregelen jegens een medewerker noodzakelijk is. Zodra een nader onderzoek is afgerond en dit niet leidt tot maatregelen jegens een medewerker worden de gegevens verwijderd.
Artikel 11 Personen aan wie persoonsgegevens worden verstrekt
De vastgelegde persoonsgegevens worden, na bewerking, via de secretaris of directeur verstrekt aan:
Artikel 12 Rechten van de medewerker
Degene aan wie overeenkomstig het eerste lid kennis is gegeven van de hem betreffende persoonsgegevens, kan verzoeken deze te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.
Het Dagelijks Bestuur van Regio Rivierenland bericht de verzoeker binnen vier weken na ontvangst van het in het tweede lid genoemde verzoek schriftelijk of, dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. Een beslissing op een verzoek geldt als een besluit in de zin van artikel 1:3, Algemene wet bestuursrecht.
Overtreding van deze regeling kan voor personen die werkzaamheden voor Regio Rivierenland verrichten, anders dan in ambtelijk dienstverband, resulteren in maatregelen waardoor deze personen, al dan niet tijdelijk, geen beschikking meer hebben over (een deel van) de elektronische communicatiemiddelen. Ook is Regio Rivierenland gerechtigd om eventuele schade die voor Regio Rivierenland ontstaat door overtreding van deze regeling op deze personen te verhalen.
Artikel 14 Onvoorziene omstandigheden
In gevallen waarin deze regeling niet in redelijkheid voorziet beslist het Dagelijks Bestuur binnen de kaders van de CAR-Uwo en de Wbp.
Artikel 15 Citeertitel en inwerkingtreding
Deze regeling kan aangehaald worden als “Regeling gebruik e-mail, internet en social media Regio Rivierenland” en treedt in werking met ingang van de dag na de datum waarop deze regeling bekend wordt gemaakt, onder gelijktijdige intrekking van het Reglement e-mail en internetgebruik zoals vastgesteld per 1 juni 2004.
De regeling is vastgesteld op 11 mei 2016
Het Dagelijks Bestuur van de Regio Rivierenland
de secretaris, de voorzitter,
mevr. mr. I.P.C. van Wamel – Geene de heer R. van Schelven
Deze toelichting maakt onlosmakelijk deel uit van de regeling e-mail- en internetgebruik
Binnen organisaties wordt veel gebruikgemaakt van e-mail, internet en andere elektronische communicatiemiddelen. Om het gebruik hiervan in goede banen te leiden, kunnen gedragscodes en gebruiksregels worden opgesteld die door middel van controle worden gehandhaafd. Uit recent onderzoek naar vijf jaar rechtspraak over e-mail- of internetmisbruik blijkt dat de aanwezigheid van een gedragscode zeer relevant is. Het is voor gemeenten en onze organisatie dan ook zaak daarover een duidelijk beleid te voeren. Elektronische controle van computergebruik raakt echter het terrein van de bescherming van de persoonlijke levenssfeer van de medewerker. Op het controleren van het gebruik van e-mail en internet op de werkplek is daarom de Wet bescherming persoonsgegevens (WBP) van toepassing die op 1 september 2001 in werking is getreden.
Het controleren van het gebruik van de e-mail- en internetfaciliteiten is een zogenaamd personeelvolgsysteem. Voor de invoering van een personeelvolgsysteem en een privacyreglement is op grond van artikel 27, eerste lid, onder k en l, van de Wet op de ondernemingsraden, de instemming van de ondernemingsraad (OR) vereist. Dit geldt ook voor een eventuele latere wijziging of bij intrekking van het regeling. Na instemming van de OR kan de regeling op de voor Regio Rivierenland gebruikelijke wijze worden vastgesteld en ingevoerd.
Het Dagelijks Besuur is verplicht om de verwerking van persoonsgegevens te melden bij het College bescherming persoonsgegevens (Cbp) voordat hij begint met de verwerking. In het zogenaamde Vrijstellingsbesluit staan eisen geformuleerd waaraan de verwerkingen moeten voldoen, wil de vrijstelling van de meldingsverplichting daadwerkelijk gelden. Op basis van het Vrijstellingsbesluit valt controle op het gebruik van de e-mail- en internetfaciliteiten onder de vrijstelling mits voldaan wordt aan de vereisten van het Vrijstellingsbesluit. Deze vereisten houden in dat geen andere persoonsgegevens worden verwerkt dan:
Daarnaast geldt dat de persoonsgegevens slechts worden verstrekt aan degenen die belast zijn met de interne controle en beveiliging (de doeleinden van de verwerking), met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen. Bovendien dienen de persoonsgegevens uiterlijk zes maanden nadat ze zijn verkregen te worden verwijderd. Ten slotte geldt dat de OR aan de controle instemming heeft verleend.
De begrippen zoals die in het privacyreglement voorkomen worden hier gedefinieerd. Voor de omschrijving van begrippen is waar mogelijk aangesloten bij de bewoording die wordt gebruikt in de
De Wbp is van toepassing als er sprake is van verwerking van persoonsgegevens. Gegevens met betrekking tot het gebruik van de e-mail- en internetfaciliteiten van medewerkers zijn in het algemeen te kwalificeren als persoonsgegevens. IP-adressen zijn in combinatie met de username en het password te herleiden tot een bepaalde gebruiker. De daaraan verbonden bestanden zijn aldus herleidbaar tot een medewerker. De verkeersgegevens geven inzicht in de afzender, de bestemming, de datum en de tijd van het bericht of van het internetgebruik. Ook de inhoud van het e-mailbericht is een persoonsgegeven als de werkgever dit tot zijn beschikking heeft om bijvoorbeeld te controleren of een medewerker de regels in het privacyreglement nakomt. De WBP hanteert een ruime definitie voor het begrip ‘verwerking’: het gehele proces van verzamelen tot aan vernietigen van gegevens.
De regeling is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van e-mail- en/of internetfaciliteiten.
Deze regeling geeft de wijze aan waarop in Regio Rivierenland wordt omgegaan met de e-mail- en internetfaciliteiten en omvat regels ten aanzien van verantwoord gebruik hiervan en regels over de wijze waarop controle hiervan plaatsvindt.
De regeling geldt voor alle medewerkers van de Regio Rivierenland: ambtenaren en personen die (betaald of niet-betaald) werkzaamheden voor de gemeente verrichten, anders dan in ambtelijk dienstverband.
De regeling is in deze vorm niet van toepassing op leden van het Algemeen en Dagelijks bestuur.
De WBP bepaalt dat gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze moeten worden verwerkt (artikel 6 WBP). Dit voorschrift geldt in zoverre als de privacyrechtelijke evenknie van de arbeidsrechtelijke norm van goed werkgeverschap. Persoonsgegevens mogen voorts slechts voor welbepaalde, duidelijk omschreven en gerechtvaardigde doeleinden worden verwerkt (artikel 7 WBP). Deze doelomschrijving moet nauwkeurig en zo volledig mogelijk zijn (zie ook artikel 4, eerste lid van de regeling). In overleg moet worden vastgesteld welke doeleinden voor controle van het gebruik van de e-mail- en internetfaciliteiten noodzakelijk zijn voor de eigen organisatie. Controle via volgsystemen is dus alleen toegestaan indien het doel van de controle vooraf is bepaald. Als grondslag van de controle kan doorgaans het gerechtvaardigd belang van de organisatie worden aangewezen (artikel 8, onder sub f WBP). De privacybelangen van de medewerkers horen hierbij dan wel meegewogen te worden. De aard, omvang en vorm van de controlemaatregelen dienen dus in een redelijke verhouding tot het doel van de controle te staan (proportionaliteit), (zie ook artikel 6, eerste lid, onder sub b en de toelichting). Tevens geldt dat de gebruikte controlemiddelen niet meer inbreuk mogen maken op de belangen van de medewerker dan strikt noodzakelijk is (subsidiariteit). In het privacyreglement zijn drie doeleinden geformuleerd.
Controle op het gebruik van de e-mail- en internetfaciliteiten is dus op zichzelf niet verboden. De werkgever is bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik van de e-mail-, internet- en overige faciliteiten of bepaalde soorten gebruik te verbieden. De werkgever moet wel de doeleinden bepalen waarvoor hij controle noodzakelijk acht (doelbinding).
Artikel 5 Voorkomen onrechtmatig gebruik dan wel misbruik
Voor het verkrijgen van inzicht in de mate van gebruik van de e-mail- en internetfaciliteiten zal in het kader van kosten- en capaciteitsbeheersing de controle beperkt kunnen blijven tot steekproven. Indien er vanuit de praktijk aanwijzingen of sterke vermoedens bestaan van verkeerd gebruik kan de directeur de teamleider I&A/systeembeheerder opdracht verstrekken.
Artikel 6 Verantwoordelijkheden en beheer
Op de werkgever wordt geen absolute verplichting gelegd. Een garantie voor de juistheid van gegevens kan van de werkgever niet worden gevergd. De juistheid van de gegevens wordt mede bepaald door de context waarin ze worden gebruikt. Met ‘nodige’ maatregelen wordt uitgedrukt dat alle maatregelen moeten worden getroffen die in redelijkheid kunnen worden gevergd. De redelijkheid stelt daarbij, afhankelijk van bijvoorbeeld de soort gegevens die onderwerp van verwerking zijn, de stand van de techniek en de kosten die met de maatregelen gepaard gaan, grenzen aan de te nemen maatregelen.
Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Een of meer systeembeheerders zijn met het beheer van de bestanden belast. De systeembeheerder heeft uit hoofde van zijn functie toegang tot alle gegevens in het computernetwerk. De functie van systeembeheerder dient met de nodige waarborgen te worden omgeven. De systeembeheerder moet zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, geheim dient te houden. Die verplichting lijdt uitzondering indien enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit. De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten of e-mail of het meekijken met het internetgebruik van de medewerkers zonder dat daar een bijzondere aanleiding voor is.
De systeembeheerder dient tegenover het management een zekere onafhankelijkheid te hebben. Er dient dus een heldere procedure te bestaan over wie in welke gevallen de systeembeheerder opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen.
In het kader van zorgvuldigheid zullen regelmatig back-ups van de systemen worden gemaakt die in geval van calamiteiten eenvoudig kunnen worden teruggezet. Dit betekent dat van logbestanden en andere gegevens over het e-mail- en internetgedrag van medewerkers een back-up wordt gemaakt. De werkgever moet zich ervan bewust zijn dat onzorgvuldig of onbevoegd gebruik van deze back-ups even schadelijk kan zijn voor de persoonlijke levenssfeer van de medewerker als onzorgvuldig of onbevoegd gebruik van het actuele systeem. Back-ups dienen daarom op een veilige plaats bewaard te worden. Nadat gegevens zijn aangepast moet zo snel mogelijk een nieuwe back-up gemaakt worden en moeten oude versies worden vernietigd, zodat de gegevens niet na een eventuele terugplaatsing van een back-up nogmaals moeten worden aangepast.
Artikel 7 Gebruik elektronische communicatiemiddelen
In de regeling worden gedragsregels opgenomen over wat er in de organisatie onder verantwoord e-mail- en internetgebruik wordt verstaan. In dit artikel is onder lid 1 een algemene bepaling opgenomen die de bevoegdheid voor het DB creëert om in protocollen nadere regels te stellen over het gebruik van de e-mail- en internetfaciliteiten. In de regeling worden bovendien regels opgenomen over wat niet is toegestaan bij een verantwoord e-mail- of internetgebruik.
Een totaal verbod van privé-gebruik van de e-mail- en internetfaciliteiten is overigens niet mogelijk. Er is een duidelijke uitspraak gedaan over de huidige ‘privétisering’ van de werkplek. Dat houdt in dat een bepaalde mate van niet-zakelijk e-mail- en internetgebruik onder werktijd niet kan worden verboden. (Kantonrechter Haarlem, 16 juni 2000, Jurisprudentie Arbeidsrecht 2000, 170). De werkgever kan wel beperkende voorwaarden opstellen aan het persoonlijk gebruik van de e-mail- en internetfaciliteiten.
Artikel 10 Bewaring en verwijdering
Het is in het algemeen niet nodig om de persoonsgegevens lang te bewaren. De standaardtermijn is daarom maximaal zes maanden. In het geval van een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van de e-mail- en internetfaciliteiten, worden de gegevens uit die zes maanden bewaard, zolang dit in het kader van nader onderzoek en eventueel te treffen maatregelen jegens een medewerker noodzakelijk is. Zodra een nader onderzoek is afgerond en dit niet leidt tot maatregelen jegens een medewerker worden de gegevens verwijderd.
In relatie tot de termijn gedurende welke persoonsgegevens mogen worden bewaard, kan het volgende worden opgemerkt. De termijn gedurende welke de in archiefbescheiden opgenomen persoonsgegevens mogen worden bewaard, is in beginsel onbepaald. Deze onbepaalde termijn houdt direct verband met het doeleinde waarvoor de gegevens worden bewaard: behoud van (een deel van) het Nederlandse culturele erfgoed.
Bepaalde gegevens kunnen soms om technische redenen niet worden verwijderd. Van het e-mailsysteem worden bijvoorbeeld back-ups gemaakt die in geval van nood teruggezet kunnen worden. Deze back-ups kunnen niet zonder meer gewist worden. Het is ook niet mogelijk om binnen een dergelijke back-up een individueel e-mailbericht te verwijderen. De bedoelde gegevens mogen in deze gevallen niet meer worden verstrekt (verwerkt).
Artikel 11 Personen aan wie controle-informatie wordt verstrekt
Al eerder is opgemerkt dat het controleren op het juiste gebruik op zich niet verboden is volgens de Wbp. Er dient alleen zeer zorgvuldig met het instrument te worden omgegaan. Met het benoemen van een gericht aantal personen die de informatie mogen ontvangen en het benoemen van de weinige opdrachtgevers hiertoe wordt de benodigde zorgvuldigheid vorm gegeven.
Artikel 12 Rechten van de medewerker
In artikel 12 worden de rechten van de medewerkers bij het verwerken van persoonsgegevens behandeld. Transparantie is een belangrijk beginsel voor privacybescherming. De informatieplicht is gebaseerd op de artikelen 33 en 34 WBP.
Tegen het opleggen van disciplinaire maatregelen/straffen kan op basis van de Algemene wet bestuursrecht (Awb) bezwaar en beroep worden aangetekend.
Artikel 14 Onvoorziene omstandigheden
Bij onvoorziene omstandigheden beslist het dagelijks bestuur.