Als gemeente verwerken wij grote hoeveelheden data, waaronder persoonsgegevens. Met het oog op de Algemene verordening gegevensbescherming (AVG), wil de gemeente zorgen voor een betere bescherming van deze gegevens. De gemeente is van plan om onder meer een nieuwe firewall te installeren. Dit zal resulteren in de betere bescherming van de persoonsgegevens die wij, als gemeente, verwerken. Echter, zal het installeren van de firewall ook mogelijkheid bieden tot het inzien van het internetverkeer van onze medewerkers. Biedt de Europese wet- en regelgeving omtrent bescherming van persoonsgegevens hiervoor een oplossing?
Antwoord in het kort
Bij het plaatsen van een firewall is het mogelijk dat u kan inzien wat uw medewerkers voor privécorrespondentie voeren. Echter, bij het verwerken van persoonsgegevens van natuurlijke personen, bijvoorbeeld van uw burgers, is de Europese Algemene verordening gegevensbescherming van toepassing. Hierin staat ook dat u bepaalde beveiligingsmaatregelen moet nemen. Met het plaatsen van een firewall kan de gemeente wel degelijk de persoonsgegevens van burgers beveiligen tegen bijvoorbeeld datalekken. Een consequentie hiervan kan echter zijn dat u persoonsgegevens verzamelt (correspondentie kan indirect herleidbaar zijn tot een medewerker) en het recht op privégebruik van werkfaciliteiten van uw medewerkers schaadt.
Wat is een firewall?
Een firewall is een apparaat voor netwerkbeveiliging dat verkeer naar of afkomstig van een eigen netwerk bewaakt. Hiermee wordt dataverkeer toegestaan of geblokkeerd op basis van een gedefinieerde set beveiligingsregels. Door middel van het plaatsen van een firewall kan voorkomen worden dat een netwerk gehackt wordt door middel van een virus. Het monitoren van de firewall kan geautomatiseerd gebeuren, of steekproefsgewijs door één persoon. Door dit monitoren is het mogelijk dat internetverkeer dat door medewerkers voor privéaangelegenheden gebruikt wordt, ook geregistreerd wordt. Deze correspondentie kan direct of indirect herleidbaar zijn naar de medewerker, en zou daarom onder de definitie van persoonsgegevens kunnen vallen.
Persoonsgegevens en de AVG
Onder het begrip persoonsgegevens vallen alle gegevens die direct of indirect herleidbaar zijn naar een persoon. Bij het verwerken van persoonsgegevens is de Algemene verordening gegevensbescherming (AVG) per 25 mei 2018 van toepassing. Een gemeente verwerkt veel persoonsgegevens van bijvoorbeeld burgers. Ingevolge de AVG moeten beveiligingsmaatregelen genomen worden, wanneer persoonsgegevens verwerkt worden. Wanneer een incident in de beveiliging plaatsvindt waardoor persoonsgegevens op straat komen te liggen, een zogenaamd datalek, kan de Autoriteit Persoonsgegevens fikse boetes uitdelen. Het plaatsen van een firewall kan een mogelijke maatregel ter beveiliging zijn, echter wat is de verhouding tot het recht op privégebruik van werknemers?
Datalekken
Wanneer er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden (dat wil zeggen een inbreuk op de beveiliging, zie artikel 4 lid 12 AVG), dan moet dit door de gemeente gemeld worden aan de toezichthoudende autoriteit. Dit is in Nederland de Autoriteit Persoonsgegevens (AP). In sommige gevallen moet een datalek ook gemeld worden aan de personen wiens persoonsgegevens gelekt zijn. Het nemen van technische en organisatorische maatregelen, bijvoorbeeld het plaatsen van een firewall, kan het risico op datalekken verminderen.
Technische en organisatorische maatregelen
De AVG verplicht (evenals de Wbp momenteel al doet) de verwerkingsverantwoordelijke (in dit geval de gemeente) ‘passende technische en organisatorische maatregelen’ te nemen, wanneer persoonsgegevens verwerkt worden (artikel 24 AVG). Ingevolge artikel 32 AVG moet de gemeente bij de informatiebeveiliging rekening houden met de stand van de techniek, de uitvoeringskosten, de aard, de omvang en de context van de verwerking. Deze beveiliging moet passend zijn, rekening houdende met de waarschijnlijkheid en ernst van uiteenlopende risico’s voor de rechten en vrijheden van personen passend zijn. Het plaatsen van een firewall kan een passende maatregel zijn. Hierdoor kan het internetverkeer gemonitord worden en kunnen mogelijke risico’s, bijvoorbeeld virussen die door middel van het versturen van een mail binnenkomen, tegengegaan worden. Echter, het is hierdoor ook mogelijk om bijvoorbeeld privécorrespondentie van een medewerker te monitoren.
Het recht op privégebruik van werkfaciliteiten
Maar mag een medewerker van de gemeente privécorrespondentie op het werk voeren? En heeft hij of zij het recht dat de werkgever deze correspondentie ook echt privé is? In diverse rechtszaken heeft het Europese Hof van de Rechten van de Mens zich uitgesproken over de verhouding tussen de plicht tot het monitoren van werkfaciliteiten door een werkgever en tegelijkertijd het recht op eerbiediging van het privé, familie- en gezinsleven van werknemer. Een werknemer mag een redelijke mate van privacybeleving veronderstellen bij het privégebruik van werkfaciliteiten (Halford). De werkgever mag grenzen stellen aan het privégebruik, maar deze grenzen moeten wel kenbaar gemaakt worden en helder gecommuniceerd worden met de werknemer. Bijvoorbeeld door de aanwezigheid van een gedragscode.
Grondslag en doel
Het plaatsen van een firewall zou een technische en organisatorische maatregel kunnen zijn om het risico op inbreuk op de beveiliging van het gemeentelijke netwerk en dus een eventueel datalek te voorkomen (artikel 24 AVG). Echter, omdat er ook persoonsgegevens van de medewerker verwerkt kunnen worden, moet vooraf het doel van het plaatsen van de firewall goed geformuleerd worden door de gemeente. Er moet volgens de AVG altijd sprake zijn van doelbinding (artikel 4 lid 1 AVG) .
Niet verder dan nodig/belangenafweging/proportioneel en subsidiair
Wanneer de gemeente een firewall wil gebruiken om persoonsgegevens van burgers beter te beschermen, moet een belangenafweging gemaakt worden. Het middel (het installeren van de firewall) moet niet verder gaan dan nodig om het doel te bereiken. Houdt de gemeente hierbij rekening met de algemene bestuursbeginselen van proportionaliteit en subsidiariteit? Hierbij moet de gemeente kijken of er een minder (op het gebied van privacy) ingrijpende manier is om het doel te bereiken. Ook moet naar de manier van monitoren gekeken worden. Monitort de gemeente haar firewall geautomatiseerd op een serie keywords of wordt er steekproefsgewijs gemonitord door een persoon?
Kenbaar bij medewerker
Daarnaast moet de gemeente de werknemer duidelijk informeren over het interne beleid. Wat is toegestaan qua privégebruik van de werkplek en wat is verboden? Wat monitort de gemeente? De gemeente kan bijvoorbeeld via vaststelling van een privacyprotocol of een gedragsregel transparant zijn over welke gegevens de gemeente verzamelt en wat het beleid is. Wanneer het protocol verandert, moeten werknemers hiervan op de hoogte gesteld worden door de gemeente, bijvoorbeeld via een bericht op Intranet.
Daarnaast is een aandachtspunt dat bij het plaatsen van een firewall door de gemeente, waardoor de discussie over het recht op privégebruik van werkfaciliteiten ontstaat, de OR vooraf om instemming voor het plaatsen van de firewall gevraagd dient worden. Dit staat in art. 27 lid 1 onder k van de Wet op de ondernemingsraden. Zie ook deze pagina op de website van de Autoriteit Persoonsgegevens.
Meer informatie
Informatiemaatschappij, Kenniscentrum Europa decentraal
Privacy: de Algemene verordening gegevensbescherming (AVG), Kenniscentrum Europa decentraal
Verordening (EU) 2016/679 (AVG)
Uitvoeringswet AVG
Richtlijn bescherming persoonsgegevens (95/46/EG)
Wet bescherming persoonsgegevens
Privacy: checklist voor de ondernemingsraad, Autoriteit Persoonsgegevens
Meer weten over dit onderwerp?
Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:
