| Organisatie | Eersel |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Privacyreglement e-mail en internetgebruik gemeente Eersel 2006 |
| Citeertitel | Privacyreglement e-mail en internetgebruik gemeente Eersel 2006 |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp |
Geen.
Privacyreglement e-mail en internetgebruik gemeente Eersel 2006
Geen.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 01-05-2006 | Geen. | 18-04-2006 Niet bekend | Geen. |
Hoofdstuk 1 DEFINITIES, REIKWIJDTE EN DOELEINDEN
In dit privacyreglement wordt verstaan onder:
Verwerken van persoonsgegevens: elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Dit privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van elektronische communicatiemiddelen. Dit privacyreglement geeft de wijze aan waarop in de gemeente wordt omgegaan met elektronische communicatiemiddelen en omvat regels ten aanzien van verantwoord gebruik hiervan en regels over de wijze waarop controle hiervan plaatsvindt.
Hoofdstuk 2 VERANTWOORDELIJKHEDEN EN BEHEER
Artikel 4 Verantwoordelijkheden en beheer
Door de verantwoordelijke worden één of meerdere systeembeheerders aangewezen die belast zijn met het beheer van het (de) bestand(en). Deze systeembeheerders zijn, op grond van artikel 125a, derde lid, Ambtenarenwet, verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.De taken, bevoegdheden en wijze van handelen voor de systeembeheerders zijn vastgelegd in de integriteitsrichtlijnen c.q. gedragsregels zoals opgenomen in bijlage 1.
Hoofdstuk 3 GEBRUIK ELEKTRONISCHE COMMUNICATIEMIDDELEN
Artikel 5 Gebruik elektronische communicatiemiddelen
Het is medewerkers niet toegestaan met behulp van de e-mailfaciliteiten te handelen in strijd met openbare orde, goede zeden of de wet, kettingbrieven te versturen of pornografisch materiaal te versturen of op te vragen, dan wel aanstootgevende, dreigende, lasterlijke, seksueel intimiderende, onzedelijke, racistische of discriminerende opmerkingen te maken. Evenmin is het medewerkers toegestaan met behulp van de e-mailfaciliteiten illegale software te verzenden of op te vragen, dan wel bestanden zonder voorafgaand overleg met de systeembeheerder(s) te verzenden of op te vragen waarvan medewerker redelijkerwijs moet aannemen dat deze te omvangrijk zijn.
Het is medewerkers niet toegestaan met behulp van de internetfaciliteiten bewust internetsites te bezoeken die pornografisch, dan wel racistisch materiaal bevatten of die naar algemeen maatschappelijke maatstaven als lasterlijk, beledigend, aanstootgevend, onzedelijk of oneervol worden beschouwd, mee te doen in chat-sessies, on line te gokken, illegale software of bestanden zonder voorafgaand overleg met de systeembeheerder(s) bestanden te downloaden waarvan medewerker redelijkerwijs moet aannemen dat deze te omvangrijk zijn.
Hoofdstuk 4 CONTROLE, BEWARING EN VERWIJDERING PERSOONSGEGEVENS
Controle door verantwoordelijke op het gebruik van de elektronische communicatiemiddelen vindt slechts plaats in het kader van de in artikel 3 genoemde doeleinden. Deze doeleinden stellen beperkingen aan de omvang en wijze van controle.
Controle ter voorkoming van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen wordt zo beperkt mogelijk gehouden, in die zin dat deze in redelijke verhouding staat tot het doel waarvoor deze wordt aangewend. Bovendien vindt de controle in beginsel geanonimiseerd en slechts steekproefsgewijs plaats.
Artikel 7 Bewaring en verwijdering
Persoonsgegevens, gerelateerd aan de elektronische communicatiemiddelen, worden maximaal zes maanden bewaard. Gegevens die ouder zijn dan zes maanden worden automatisch verwijderd, tenzij er bijzondere redenen zijn, bijvoorbeeld een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen, om de gegevens langer te bewaren. Dat moet dan expliciet kunnen worden gemaakt en worden gemeld aan het Cbp.
Hoofdstuk 5 RECHTEN VAN MEDEWERKER: VERBETEREN, AANVULLEN, VERWIJDEREN OF AFSCHERMEN PERSOONSGEGEVENS
Artikel 8 Rechten van de medewerker
De medewerker kan de verantwoordelijke verzoeken zijn persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.
De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het in het tweede lid genoemde verzoek schriftelijk of, dan wel in hoeverre, hij daaraan voldoet. Een weigering is met redenen omkleed. Een beslissing op een verzoek geldt als een besluit in de zin van artikel 1:3 van de Algemene wet bestuursrecht.
Hoofdstuk 6 SANCTIES, ONVOORZIENE OMSTANDIGHEDEN, OPENBAARMAKING, INWERKINGTREDING, EVALUATIE EN SLOTBEPALING
Artikel 10 Onvoorziene omstandigheden
In gevallen waarin dit privacyreglement niet voorziet of bij twijfel omtrent de toepassing van dit privacyreglement, beslist de verantwoordelijke. Hierbij zal eerst de ondernemingsraad worden geïnformeerd en gehoord.
Aldus besloten door het college van de gemeente Eersel op .. april 2006BURGEMEESTER EN WETHOUDERS VAN EERSEL de secretaris, de burgemeester,mr. H.J.M. Timmermans, H.P.G.M. Houben-Sipman
1 privacyreglement e-mail- en internetgebruik
Om het gebruik van e-mail en internet in goede banen te leiden, kunnen gedragscodes en gebruiksregels worden opgesteld die door middel van controle worden gehandhaafd. Uit recent onderzoek naar vijf jaar rechtspraak over e-mail- of internetmisbruik blijkt dat de aanwezigheid van een gedragscode zeer relevant is. Het is voor gemeenten dan ook zaak daarover een duidelijk beleid te voeren. Elektronische controle van computergebruik raakt echter het terrein van de bescherming van de persoonlijke levenssfeer van de medewerker. Op het controleren van het gebruik van e-mail en internet op de werkplek is daarom de Wet bescherming persoonsgegevens (Wbp) van toepassing die op 1 september 2001 in werking is getreden. Een verantwoordelijke is verplicht om de verwerking van persoonsgegevens te melden bij het College bescherming persoonsgegevens (Cbp) voordat hij begint met de verwerking. In het zogenaamde Vrijstellingsbesluit staan eisen geformuleerd waaraan de verwerkingen moeten voldoen, wil de vrijstelling van de meldingsverplichting daadwerkelijk gelden. Op basis van het Vrijstellingsbesluit valt controle op het gebruik van e-mail en internet onder de vrijstelling mits voldaan wordt aan de vereisten van het Vrijstellingsbesluit. Deze vereisten houden in dat geen andere persoonsgegevens worden verwerkt dan: a) gegevens ten behoeve van identificatie van en communicatie (username en toegangscode) met de gebruikers binnen het netwerk; b) gegevens met betrekking tot bevoegdheden van de gebruikers en de netwerkbeheerders met het oog op de aangeboden faciliteiten en diensten van het netwerk; c) gegevens met betrekking tot de verrichtingen van de gebruikers en netwerkbeheerders en d) gegevens met betrekking tot elektronische berichten van of voor de gebruikers. Daarnaast geldt dat de persoonsgegevens slechts worden verstrekt aan degenen die belast zijn met de interne controle en beveiliging (de doeleinden van de verwerking), met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen. Bovendien dienen de persoonsgegevens uiterlijk zes maanden nadat ze zijn verkregen te worden verwijderd dan wel twee jaar nadat het dienstverband of de werkzaamheden van betrokkenen ten behoeve van de verantwoordelijke zijn beëindigd. Ten slotte geldt dat de OR aan de controle instemming heeft verleend.Het “Privacyreglement e-mail- en internetgebruik gemeente Eersel 2002” is gebaseerd op het in 2001 opgestelde VNG voorbeeld-privacyreglement. Dit model heeft in 2002 en 2003 een aantal kleine wijzigingen ondergaan. De herziening van 2004 is fundamenteler van aard. Het privacyreglement is qua opzet vereenvoudigd conform de Raamregeling van het Cbp. Tevens is het aangepast aan de actuele ontwikkelingen (bijvoorbeeld het gebruik van content filtering) en relevante jurisprudentie. Het reglement is daarom (net als in 2001) naar het Cbp gestuurd en vervolgens aangepast aan de opmerkingen en aanbevelingen van het Cbp. Deze vereisten houden in dat geen andere persoonsgegevens worden verwerkt dan: a) gegevens ten behoeve van identificatie van en communicatie (username en toegangscode) met de gebruikers binnen het netwerk; b) gegevens met betrekking tot bevoegdheden van de gebruikers en de netwerkbeheerders met het oog op de aangeboden faciliteiten en diensten van het netwerk; c) gegevens met betrekking tot de verrichtingen van de gebruikers en netwerkbeheerders en d) gegevens met betrekking tot elektronische berichten van of voor de gebruikers. Daarnaast geldt dat de persoonsgegevens slechts worden verstrekt aan degenen die belast zijn met de interne controle en beveiliging (de doeleinden van de verwerking), met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen. Bovendien dienen de persoonsgegevens uiterlijk zes maanden nadat ze zijn verkregen te worden verwijderd dan wel twee jaar nadat het dienstverband of de werkzaamheden van betrokkenen ten behoeve van de verantwoordelijke zijn beëindigd. Ten slotte geldt dat de OR aan de controle instemming heeft verleend.
De begrippen zoals die in het privacyreglement voorkomen worden hier gedefinieerd. Voor de omschrijving van begrippen is waar mogelijk aangesloten bij de bewoording die wordt gebruikt in de Wbp.De Wbp is van toepassing als er sprake is van verwerking van persoonsgegevens. Gegevens met betrekking tot het e-mail- en internetgebruik van medewerkers zijn in het algemeen te kwalificeren als persoonsgegevens. IP-adressen zijn in combinatie met de username en het password te herleiden tot een bepaalde gebruiker. De daaraan verbonden bestanden zijn aldus herleidbaar tot een medewerker. De verkeersgegevens geven inzicht in de afzender, de bestemming, de datum en de tijd van het bericht of van het internetgebruik. Ook de inhoud van het e-mailbericht is een persoonsgegeven als de werkgever dit tot zijn beschikking heeft om bijvoorbeeld te controleren of een medewerker de regels in het privacyreglement nakomt.
Het privacyreglement is van toepassing op het verwerken van persoonsgegevens inzake het gebruik van e-mail en/of internetfaciliteiten. Het privacyreglement geldt voor alle medewerkers van de gemeente: ambtenaren en personen die (betaald of niet-betaald) werkzaamheden voor de gemeente verrichten, anders dan in ambtelijk dienstverband. Het privacyreglement is niet van toepassing op politieke ambtsdragers.
De Wbp bepaalt dat gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze moeten worden verwerkt. Persoonsgegevens mogen slechts voor welbepaalde, duidelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Deze doelomschrijving moet nauwkeurig en zo volledig mogelijk zijn. Als grondslag van de controle kan doorgaans het gerechtvaardigd belang van de organisatie worden aangewezen. De privacybelangen van de medewerkers horen hierbij dan wel meegewogen te worden. De aard, omvang en vorm van de controlemaatregelen dienen dus in een redelijke verhouding tot het doel van de controle te staan (proportionaliteit). Tevens geldt dat de gebruikte controlemiddelen niet meer inbreuk mogen maken op de belangen van de medewerker dan strikt noodzakelijk is (subsidiariteit).
Artikel 4 Verantwoordelijkheden en beheer
Op de werkgever wordt geen absolute verplichting gelegd. Een garantie voor de juistheid van gegevens kan van de werkgever niet worden gevergd. De juistheid van de gegevens wordt mede bepaald door de context waarin ze worden gebruikt. Met ‘nodige’ maatregelen wordt uitgedrukt dat alle maatregelen moeten worden getroffen die in redelijkheid kunnen worden gevergd.Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.Een of meer systeembeheerders zijn met het beheer van de bestanden belast. De systeembeheerder heeft uit hoofde van zijn functie toegang tot alle gegevens in het computernetwerk. De functie van systeembeheerder dient met de nodige waarborgen te worden omgeven. De systeembeheerder moet zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, geheim dient te houden. Die verplichting lijdt uitzondering indien enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit. De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten of e-mail of het meekijken met het internetgebruik van de medewerkers zonder dat daar een bijzondere aanleiding voor is. De systeembeheerder dient tegenover het management een zekere onafhankelijkheid te hebben. Er moet dus een heldere procedure bestaan over wie in welke gevallen de systeembeheerder opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen.De werkgever moet zich ervan bewust zijn dat onzorgvuldig of onbevoegd gebruik van back-ups even schadelijk kan zijn voor de persoonlijke levenssfeer van de medewerker als onzorgvuldig of onbevoegd gebruik van het actuele systeem.
Artikel 5 Gebruik elektronische communicatiemiddelen
In het privacyreglement worden gedragsregels opgenomen over wat er in de organisatie onder verantwoord e-mail- en internetgebruik wordt verstaan.Een totaal verbod van privé-gebruik van de elektronische communicatiemiddelen is overigens niet mogelijk. Er is een duidelijke uitspraak gedaan over de huidige ‘privétisering’ van de werkplek. Dat houdt in dat een bepaalde mate van niet-zakelijk e-mail- en internetgebruik onder werktijd niet kan worden verboden. (Kantonrechter Haarlem, 16 juni 2000, Jurisprudentie Arbeidsrecht 2000, 170). De werkgever kan wel beperkende voorwaarden opstellen aan het persoonlijk gebruik van de elektronische communicatiemiddelen.
Dit artikel is voor een groot deel nieuw. De in het oude privacyreglement opgenomen specificatie van vastgelegde persoonsgegevens en het onderscheid tussen ‘vastleggen’ en ‘verstrekken’ is komen te vervallen na overleg met het Cbp die in haar eigen raamregeling ook niet zo’n specificatie c.q. onderscheid hanteert.Artikel 6, eerste lid, onder sub aVoor het verkrijgen van inzicht in de mate van gebruik van de elektronische communicatiemiddelen zal in het kader van kosten- en capaciteitsbeheersing de controle beperkt kunnen blijven tot verkeersgegevens. Kennisneming van de inhoud is dan niet noodzakelijk.Artikel 6, eerste lid, onder sub bDe genomen maatregelen dienen in redelijke verhouding te staan tot de belangen van de medewerker en de gebruikte middelen mogen niet een verdergaande inbreuk maken op die belangen dan strikt noodzakelijk is (proportionaliteit en subsidiariteit). Steeds zal hiertoe een belangenafweging moeten plaatsvinden. Het doel rechtvaardigt dus niet een continue controle en de daarmee gepaard gaande verregaande inbreuk op de persoonlijke levenssfeer van de werknemer. In beginsel zal de controle op naleving slechts steekproefsgewijs mogen geschieden.Content filteringHet is betrekkelijk eenvoudig om de datapakketjes die de server passeren te screenen op inhoud (content filtering). Dit houdt in dat geautomatiseerd wordt gekeken of bestanden woorden of teksten bevatten die de werkgever heeft verboden. Voor het gebruik van content filtering zal de werkgever een gerechtvaardigd belang moeten hebben. Onder meer zal moeten worden bezien in hoeverre content filtering noodzakelijk is, welke zoektermen worden gebruikt, welke actie wordt ondernomen nadat een ‘hit’ is gevonden, en welke procedures er bestaan om gerechtvaardigd gebruik van aangewezen zoektermen mogelijk te maken.Mits het met de nodige zorgvuldigheid wordt ingezet, zal content filtering als controlemiddel in mindere mate inbreuk maken op de privacy en de communicatievrijheid van de gebruiker dan andere vormen van controle, zoals volledige inhoudscontrole of steekproefsgewijze inhoudscontrole.Artikel 6, tweede lidControle vindt in beginsel niet persoonsgericht plaats. Alleen als er concrete bedenkingen bestaan tegen een bepaalde medewerker, is rapportage op persoonsniveau noodzakelijk en dan ook toegestaan.Artikel 6, derde lidSlechts bij zwaarwegende redenen wordt er gecontroleerd op inhoud.Artikel 6, vierde lidOnrechtmatig gebruik dan wel misbruik van de elektronische communicatiemiddelen kan worden ingebouwd in de software die wordt gebruikt om te e-mailen of te internetten. Vaak zal dit kunnen door content filtering, het afsluiten van websites of nieuwsgroepen, het stoppen van de doorgifte, etc. Overtreding van het privacyreglement wordt hiervoor dan feitelijk vrijwel onmogelijk gemaakt en er is geen grond meer voor actieve controle en logging op het gebruik van de elektronische communicatiemiddelen.Artikel 6, vijfde lidBij overtreding van het privacyreglement spreekt het adelingshoofd c.q. de leidinggevende de betrokken medewerker hierop zo spoedig mogelijk aan. Een bepaalde tijd voor opbouw van het dossier is toegestaan indien de omstandigheden daartoe aanleiding geven. Indien de medewerker op zijn handelen in strijd met het privacyreglement wordt aangesproken, is het raadzaam dat hij gewaarschuwd wordt voor de (rechtspositionele) gevolgen bij continuering van dit gedrag.Artikel 6, zesde lidDe werkgever kan zijn gezagsbevoegdheid niet aanwenden om het e-mailgebruik van OR-leden in functie te controleren. Dit soort e-mail is geprivilegieerd en de werkgever mag er in beginsel geen kennis van nemen. Het betreft hier echter geen absoluut verbod. Er kan van worden afgeweken in bepaalde situaties van plichtsverzuim.Daarnaast ziet deze bepaling ook toe op het gebruik van internet. Het Cbp heeft de VNG per brief laten weten dat artikel 6, zesde lid niet alleen geldt voor het gebruik van e-mailfaciliteiten, maar ook voor internetgebruik.
Artikel 7 Bewaring en verwijdering
rtikel 7, eerste lidHet is in het algemeen niet nodig om de persoonsgegevens lang te bewaren. De standaardtermijn is daarom zes maanden. In het geval van een zwaarwegend vermoeden van onrechtmatig gebruik dan wel misbruik van elektronische communicatiemiddelen, worden de gegevens uit die zes maanden bewaard, zolang dit in het kader van nader onderzoek en eventueel te treffen maatregelen jegens een medewerker noodzakelijk is. Zodra een nader onderzoek is afgerond en dit niet leidt tot maatregelen jegens een medewerker worden de gegevens verwijderd.Artikel 7, tweede lidBepaalde gegevens kunnen soms om technische redenen niet worden verwijderd. Van het e-mailsysteem worden bijvoorbeeld back-ups gemaakt die in geval van nood teruggezet kunnen worden. Deze back-ups kunnen niet zonder meer gewist worden. Het is ook niet mogelijk om binnen een dergelijke back-up een individueel e-mailbericht te verwijderen. De bedoelde gegevens mogen in deze gevallen niet meer worden verstrekt (verwerkt).Artikel 8 Rechten van de medewerkerTransparantie is een belangrijk beginsel voor privacybescherming. De informatieplicht is gebaseerd op de artikelen 33 en 34 Wbp. Vanwege de gewenste vereenvoudiging van het privacyreglement zijn een tweetal zinsneden verwijderd.Artikel 9 SanctiesHet eerste lid is opnieuw geformuleerd waarbij ontslag als disciplinaire straf expliciet wordt genoemd.Tegen het opleggen van disciplinaire maatregelen/straffen kan op basis van de Algemene wet bestuursrecht (Awb) bezwaar en beroep worden aangetekend.
Artikel 10 Onvoorziene omstandigheden
Bij onvoorziene omstandigheden beslist het college.
Artikel 11 Openbaarmaking, inwerkingtreding en evaluatie
Het privacyreglement moet helder naar de medewerkers worden gecommuniceerd. De medewerkers moeten weten wat verboden is en wat is toegestaan, dat controle mogelijk is, op welke manier die controle geschiedt en wat de consequenties zijn bij overtreding van het privacyreglement.Nieuw is dat het reglement periodiek geëvalueerd zal gaan worden.
Elektronische controle van computergebruik raakt het terrein van de bescherming van de persoonlijke levenssfeer van de medewerker. Op het controleren van het gebruik van e-mail en internet op de werkplek is daarom de Wet bescherming persoonsgegevens (Wbp) van toepassing die op 1 september 2001 in werking is getreden.
Bijlage 1 Richtlijnen bij het privacyreglement e-mail- en internetgebruik gemeente Eersel 2006 Integriteitrichtlijnen c.q. gedragsregels voor systeem- en netwerkbeheerders
In derde lid van artikel 4 van het privacyreglement e-mail en internetgebruik gemeente Eersel 2006 zijn de verantwoordelijkheden en beheertaken van de systeembeheerder(s) weergegeven. Waarborgen voor deze functie zijn belangrijk, gezien de toegang van de systeembeheerders tot alle gegevens op het computernetwerk. In aanvulling op artikel 4 van het privacyreglement 2006 en de functiebeschrijving van de systeembeheerders worden de taken, bevoegdheden en wijze van handelen voor deze functie vastgelegd in de volgende integriteitrichtlijnen c.q. gedragsregels:
De systeem- of netwerkbeheerder heeft een vertrouwensfunctie en een geheimhoudingsplicht conform artikel 12, lid 2 van de Wet Bescherming Persoonsgegevens. De systeem- of netwerkbeheerder houdt gegevens die hij tijdens zijn werk tegenkomt geheim, tenzij enig wettelijk voorschrift hem tot mededeling verplicht of uit zijn taak de noodzaak tot mededeling voortvloeit.
De systeem- of netwerkbeheerder heeft voor de uitoefening van zijn functie tegenover het management een zekere onafhankelijkheid. Het college en/of management mag de systeem- of netwerkbeheerder als ondergeschikte medewerker niet in een positie brengen, waarin hij de professionele uitoefening van zijn functie niet conform de Wet Bescherming Persoonsgegevens en/of het privacyreglement kan uitvoeren.
De systeem- of netwerkbeheerder is in beginsel niet bevoegd tot het lezen van documenten of e-mails of het (realtime) meekijken met het internetgebruik van medewerkers zonder dat daar een bijzondere aanleiding toe is.Als bijzondere aanleiding kunnen worden aangemerkt:· een verzoek van de betrokken medewerker zelf, die daarmee toestemming verleent aan de systeem- of netwerkbeheerder voor toegang tot zijn (privacygevoelige) gegevens;· een opdracht van het college en/of de algemeen directeur/secretaris bij zwaarwegende redenen.
Voor controle op het onrechtmatig gebruik danwel misbruik van elektronische communicatiemiddelen activeert de systeem- of netwerkbeheerder gedurende de aan het begin van het jaar bepaalde perioden de logging van de contentfiltering. Deze perioden beslaan qua tijdsduur maximaal een week, beperken zich in aantal tot maximaal zes per jaar en worden niet van tevoren aangekondigd.De systeem- of netwerkbeheerder is bevoegd om de geanonimiseerde (zoek)resultaten van deze controleperioden vast te leggen, te verwerken en te verstrekken aan de algemeen directeur/secretaris.
De systeem- of netwerkbeheerder is bevoegd om bij het vastleggen en verwerken van persoonsgegevens het gebruik van de elektronische communicatiemiddelen door OR-leden in functie, bedrijfsartsen of andere medewerkers met een vertrouwensfunctie uit te sluiten bij de zoekresultaten van de controle. Dit geldt niet voor de controle op de veiligheid van het elektronische verkeer.
Richtlijnen voor controle als nadere concretisering van het privacyreglement 2006
In het derde lid van artikel 6 van het privacyreglement e-mail en internetgebruik 2006 zijn de kaders voor de controle weergegeven, welke grotendeels reeds vertaald zijn in de integriteitrichtlijnen c.q. gedragsregels voor de systeem- en netwerkbeheerders. Als aanvulling hierop dienen onderstaande richtlijnen.Algemeen:§ Gedurende het hele jaar inclusief de controleperioden zorgdragen voor softwarematige beveiligen van het systeem en het netwerk;§ Gedurende het hele jaar zorgdragen voor contentfiltering om het onrechtmatig gebruik dan wel misbruik van elektronische communicatiemiddelen te voorkomen;§ Aan het begin van het jaar bepalen van tijdstip en duur van de perioden door de algemeen directeur/secretaris voor controle voor het voorkomen van onrechtmatig gebruik danwel misbruik van elektronische communicatiemiddelen.§ Gedurende het jaar inclusief de controleperioden artikel 7 in acht nemen voor verwijderen en bewaren van gegevens.Controleperiode (maximaal 2 per jaar van maximaal een week):§ Bij de start van een controleperiode zorgdragen voor het activeren van de logging van de contentfiltering;§ Gedurende een controleperiode automatisch en systeemtechnisch vastleggen van persoonsgegevens na een ‘hit’ op basis van zoektermen via contentfiltering;§ Gedurende een controleperiode handmatig vastleggen en verwerken van persoonsgegevens door de systeem- of netwerkbeheerder op basis van zoekresultaten van alle ‘hits’ in de controleperiode;§ Na afloop van de controleperiode verstrekken van handmatig overzicht met deze persoonsgegevens in geanonimiseerde, getotaliseerde vorm en dus niet herleidbaar tot individuele personen door de systeem- of netwerkbeheerder aan de algemeen directeur/secretaris.§ Na afloop van de controleperiode deactiveren van de logging van de contentfiltering.Bij verdenking als gevolg van rapportage over een controleperiode of via andere signalen:§ Bij verdenking van overtreding van regels door één of meerdere medewerkers geeft de algemeen directeur/secretaris opdracht om gerichte controle uit te voeren gedurende een vastgestelde (korte) periode;§ Deze gerichte controle kan bestaan uit het vastleggen, verwerken en vervolgens verstrekken van persoonsgegevens van het e-mail en internetgebruik. Enkel bij zwaarwegende redenen vindt er controle op inhoud plaats;§ Bij constatering van overtreding van het (privacy)reglement 2006 spreekt de leidinggevende de betrokken medewerker(s) hier zo spoedig mogelijk op aan;§ Voor de (eventuele) vervolgprocedure worden de rechten van de medewerker conform artikel 8 en de sancties conform artikel 9 in acht genomen.