Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Onlangs viel mij op mijn werk op dat bij https-verbindingen het certificaat dat wordt aangegeven in het "slotje" uitgegeven is door mijn werkgever zelf - en niet door de website waarmee ik de https-verbinding denk te hebben. Mag dat zomaar?
Antwoord: Er zijn legitieme redenen voor zo'n actie, denk aan het tegengaan van uitgaand malware-verkeer of het onderscheppen van lekkage van datalekken. Maar het raakt ook allerlei legitiem verkeer van de werknemer in kwestie, zoals privemailtjes (een SSL-verbinding met Gmail of een privé Outlook adres), bankzaken of communicatie met een verzekeraar. En dan wordt het juridisch ingewikkeld, want je moet óók rekening houden met de privacy van je werknemer.
Hier moet de werkgever dus een balans in vinden. Een belangrijke voor mij is daarbij hoe geautomatiseerd dit proces gaat. Wordt er door een automatisch proces gecheckt op een serie keywords of fingerprints van de te beschermen data, dan is dat privacytechnisch héél wat minder ernstig dan een steekproefsgewijze controle door een persoon.
Ook zou belangrijk zijn dat de data niet wordt gelogd (tenzij de automatische scan natuurlijk aangeeft dat er iets mis is) en dat inspectie bij afgaande alarmbellen onder strikte geheimhouding gebeurt. Dergelijke waarborgen moeten in een reglement zijn uitgeschreven, zodat je als werknemer weet waar je aan toe bent. Maar als het zorgvuldig wordt uitgewerkt en ingevoerd, dan denk ik dat het wel kan.
De AVG is hierbij de leidraad: de werkgever moet dit onderbouwen als een gerechtvaardigd belang (bijvoorbeeld security), en daarbij maatregelen inbouwen om de privacybelangen van de werknemer af te dekken. Een van die maatregelen is het adequaat informeren van de werknemer, bijvoorbeeld via het personeelshandboek of een bericht op het intranet.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.