BELGISCHE SENAAT
________
Zitting 2012-2013
________
22 april 2013
________
SENAAT Schriftelijke vraag nr. 5-8828

de Nele Lijnen (Open Vld)

aan de vice-eersteminister en minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale Culturele Instellingen
________
Personeel - Federale administratie - Monitoring - Controle e-mails en surfgedrag - Afluisteren telefoongesprekken - Privacy - Klachten - Evaluatie
________
telefoon- en briefgeheim
eerbiediging van het privé-leven
overheidsapparaat
plichten van de ambtenaar
elektronische post
internet
ministerie
ambtenaar
________
22/4/2013Verzending vraag
25/9/2013Rappel
29/10/2013Rappel
3/12/2013Herkwalificatie
16/12/2013Antwoord
________
Ook gesteld aan : schriftelijke vraag 5-8822
Ook gesteld aan : schriftelijke vraag 5-8823
Ook gesteld aan : schriftelijke vraag 5-8824
Ook gesteld aan : schriftelijke vraag 5-8825
Ook gesteld aan : schriftelijke vraag 5-8826
Ook gesteld aan : schriftelijke vraag 5-8827
Ook gesteld aan : schriftelijke vraag 5-8829
Ook gesteld aan : schriftelijke vraag 5-8830
Ook gesteld aan : schriftelijke vraag 5-8831
Ook gesteld aan : schriftelijke vraag 5-8832
Ook gesteld aan : schriftelijke vraag 5-8833
Ook gesteld aan : schriftelijke vraag 5-8834
Ook gesteld aan : schriftelijke vraag 5-8835
Ook gesteld aan : schriftelijke vraag 5-8836
Ook gesteld aan : schriftelijke vraag 5-8837
Ook gesteld aan : schriftelijke vraag 5-8838
Ook gesteld aan : schriftelijke vraag 5-8839
Ook gesteld aan : schriftelijke vraag 5-8840
Geherkwalificeerd als : vraag om uitleg 5-4373
________
SENAAT Schriftelijke vraag nr. 5-8828 d.d. 22 april 2013 : (Vraag gesteld in het Nederlands)

Onlangs werd bericht dat bedrijfsleiders steeds vaker de activiteiten van hun personeel op de computer controleren. Zo zou, volgens een steekproef van 413 deelnemers, een op drie bazen de mails van personeelsleden controleren, de helft controleert het surfgedrag en 5 % luistert zelfs telefoongesprekken af. In bepaalde sectoren wordt de mailaccount van een personeelslid gekoppeld aan een alias. Daardoor kan een overste alle e-mails meelezen.

Graag wil ik u volgende vragen stellen:

1) Hoe evalueert u die berichtgeving? Vindt u het wenselijk dat een overste in staat is om bijvoorbeeld de e-mails of het surfgedrag van een personeelslid te controleren? Vindt u dat een inbreuk op de privacy, of toelaatbaar omdat de controle in een professionele omgeving gebeurt? Vindt u het toelaatbaar indien de werknemer duidelijk weet dat hij of zij gecontroleerd kan worden?

2) Zijn er reeds klachten geweest van personeelsleden over zulke praktijken? Hebben er dus al mensen geklaagd dat hun privacy op zulk een manier geschonden werd? Kunt u dat toelichten met cijfers als die beschikbaar zijn?

3) Zelfs al hebt u geen weet van dergelijke controlepraktijken, weet u of de apparatuur of de IT van uw Federale Overheidsdienst het mogelijk maakt om het surfgedrag te controleren? Worden de mailbox of het mailverkeer gemonitord of actief gecontroleerd? Kan hij toelichten?

4) Is het mogelijk om mee te luisteren naar telefoongesprekken? Indien ja, kunt u toelichten?

5) Worden uw werknemers ingelicht over mogelijke controles en hun privacy? Weten zij aldus wat al dan niet gecontroleerd kan worden? Kunt u toelichten?

6) Kan een werknemer op het internet alle websites bezoeken, of zijn bepaalde websites geblokkeerd? Zo ja, waarom? Kunt u toelichten?

7) Kan bij een evaluatie van de prestaties van een werknemer het resultaat van een dergelijke controle (mails, internet, telefoon, enz.) gebruikt worden? Kunt u toelichten?

Antwoord ontvangen op 16 december 2013 :

Wat betreft de Federale Overheidsdienst (FOD) Sociale Zekerheid:

1. Voor een antwoord hierop wordt verwezen naar de antwoorden op de volgende vragen.

2. Er zijn nog geen klachten geweest.

3. Er gebeurt geen individuele controle van het surfgedrag, er is alleen een technische monitoring om op te volgen of de surfing faciliteiten beschikbaar zijn; Er gebeurt geen individuele controle van de mailbox en het mailverkeer, er is alleen een technische monitoring om op te volgen of de mailing faciliteiten beschikbaar zijn.

4. Het is niet mogelijk om mee te luisteren naar telefoongesprekken.

5. Er is momenteel nog geen algemene communicatie hieromtrent; indien er vragen zijn wordt gemeld dat er geen individuele controles gebeuren en er enkel een technische monitoring gebeurt (zie hoger).

Er is een gedragscode in voorbereiding, waarin de regels ter zake worden verduidelijkt.

6. Een werknemer kan niet alle websites bezoeken. Bepaalde categorieën worden geblokkeerd, namelijk :

  • Sites met veiligheidsrisico’s (malware)

  • Sites met pornografische inhoud

  • Game sites

7. Er worden geen dergelijke controles gebruikt bij evaluatie van prestaties van een werknemer.

1) De FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu heeft beslist om de persoonsgegevens en de communicatiegegevens van zijn ambtenaren te beschermen.

In die zin staat de FOD een beperkt en verstandig gebruik van de informatiesystemen voor persoonlijke doeleinden door de medewerkers toe, in alle vertrouwelijkheid.

Die beslissing is ingegeven door de wetgeving en in het bijzonder de rechtspraak van het Europees Hof voor de Rechten van de Mens.

De scheiding van de verantwoordelijkheden tussen de FOD en de ambtenaren is in overeenstemming met de privacywetgeving en past, volgens de adviezen van de Commissie voor de bescherming van de persoonlijke levenssfeer, de in de Collectieve Arbeidsovereenkomst nr. 81 geformuleerde beginselen voor het beheer van informatiesystemen toe:

  • De persoonsgegevens en persoonlijke informatie alsook de persoonlijke communicatiegegevens worden geheimgehouden;

  • De monitoring van de systemen is passief en heeft tot doel de functionaliteit van de informatiesystemen te beschermen;

  • De ambtenaren worden op de hoogte gebracht van de monitoringfunctionaliteiten;

  • Het verlies van prestatievermogen of functionaliteiten wordt in eerste instantie collectief aangepakt;

  • Herhaald en manifest misbruik leidt slechts na twee verwittigingen en na gesprekken met de functionele chef tot sancties;

  • De toegang tot professionele informatie en communicatiegegevens die betrekking hebben op persoonlijke middelen, volgt zeer strikte procedures en wordt gecontroleerd door de dienst Psychosociale Preventie en/of de adviseur Informatieveiligheid.

Die beginselen gelden in het bijzonder voor:

  • het telefoonverkeer;

  • het gebruik van het e-mailsysteem;

  • het bezoeken van internetsites;

  • het opslaan van files op de persoonlijke netwerkschijven.

2) Klachten kunnen, naargelang van de context, ingediend worden bij:

  • de stafdienst P&O (hiërarchische interacties);

  • de dienst Psychosociale Preventie (klachten inzake pesterijen);

  • de adviseur Informatieveiligheid (veiligheidsincidenten).

Blijkbaar werd in deze materie nog nooit enige klacht ingediend.

Daarentegen waren er meerdere klachten van functionele chefs die betrekking hadden op het feit dat zij niet konden beschikken over dienstinformatie doordat de beheerders van die dossiers afwezig waren. Precies die vragen lagen ten grondslag aan de invoering van procedures voor het bezoeken van persoonlijke ruimte.

3) Er is geen actieve monitoring of controle op de mailboxen. Enkel mailboxen die niet beheerd worden en vol geraken (en dus foutboodschappen genereren) krijgen een actieve opvolging: de eigenaar of zijn dienst wordt gecontacteerd om de situatie uit te klaren en te corrigeren.

Back-ups van mailboxen worden enkel gebruikt om de service naar de medewerker te garanderen: herstel van verloren of verkeerdelijk gewiste mails is hierdoor mogelijk.

De opvolging van het gebruik van en de beschikbare ruimte op de persoonlijke netwerkschijven volgt dezelfde logica.

De internettoegangen worden uitsluitend gemonitord om de functionaliteit van de netwerkverbindingen te verzekeren.

4) De meeste telefoontoestellen staan niet in verbinding met een systeem waarmee telefonisch meeluisteren mogelijk is. In dat geval is afluisteren technisch onmogelijk.

Slechts bij één systeem zijn “uitgebreide functionaliteiten” mogelijk. Dat systeem wordt gebruikt in het Contact Center van de FOD. Telefonisch meeluisteren in het Contact Center maakt deel uit van een specifieke bijlage van het arbeidsreglement, waarvan de belangrijkste bepalingen de volgende zijn:

  • meeluisteren op afstand kan enkel bij professionele gesprekken en dit door elk personeelslid dat een support-functie uitoefent ten opzichte van de operator. In de praktijk zijn het de teamleaders (functionele leidinggevenden) die meeluisteren ;

  • de operator wordt hierbij niet vooraf verwittigd wanneer de teamleader gesprekken van hem/haar beluistert ;

  • meeluisteren op afstand kan enkel in het kader van coaching en de resultaten kunnen geenszins gebruikt worden bij de evaluatie van de operator ;

  • na elke meeluistersessie geeft de coach feedback aan de operator ten laatste de dag na de meeluistersessie ;

  • het beluisteren van de professionele gesprekken van de operator is enkel mogelijk mits de uitdrukkelijke schriftelijke toestemming van de operator. Hij heeft het recht het meeluisteren te weigeren. Hij kan ook te allen tijde zijn gegeven akkoord intrekken. Dit laatste dient eveneens schriftelijk te gebeuren ;

  • Indien ondanks de uitdrukkelijke toestemming van de operator en de klant het gesprek naar een strikte privésfeer evolueert zonder dat er iets van de aangegane professionele relatie overblijft, is de uitvoerende coach verplicht het meeluisteren onmiddellijk stop te zetten;

  • naast meeluisteren op afstand mogen de teamleaders ook meeluisteren aan de zijde van de operator. Aangezien de operator hierbij weet dat zijn/haar gesprekken worden beluisterd, kunnen de resultaten van deze meeluistersessies wel gebruikt worden bij de evaluatie.

5) De gebruikers worden op de hoogte gebracht van het bestaan van een monitoringsysteem voor:

  • internettoegangen via een bericht dat elke maand automatisch verschijnt; de gebruiker moet die ontrole uitdrukkelijk goedkeuren om toegang te krijgen tot websites buiten de FOD;

  • het gebruik van het e-mailsysteem telkens als de mailboxen te vol zitten;

  • het opslaan van files op de persoonlijke schijven wanneer geprobeerd wordt om ‘verboden’ files te bewaren of wanneer de servers overbelast zijn.

Er is geen veiligheidspolicy tot reglementering van het gebruik van de internet- en mailsystemen goedgekeurd door het Directiecomité en het Basisoverlegcomité.

6) De toegang tot de Internetwebsites wordt gefilterd door een BlueCoat proxy. Via deze proxy kan de toegang tot bepaalde websites geblokkeerd of toegelaten worden. Er kan onder andere worden gefilterd op bron (wie surft), op bestemming (naar welke website mag worden gesurft) en tijd (wanneer mag naar waar worden gesurft). Alle webaanvragen die de proxy passeren, worden gelogd en deze logginggevens worden naar een BlueCoat Reporter gestuurd.

De BlueCoat Reporter slaat alle webaanvragen op in een database. Zo kan de BlueCoat Reporter allerhande statistieken genereren en rapporten opmaken, zoals:

  • Web browsing per user ;

  • Web browsing per categorie ;

  • Gebruikte Bandbreedte ;

  • Security gerelateerde web browsing (geblokkeerde websites, potential threats).

Er is geen systematische rapportering hierover. Indien nodig geacht kan een rapport op aanvraag van de Voorzitter van het directiecomité (of zijn vervanger) afgeleverd worden.

De gebruikte apparatuur:

  • Proxy: 2 toestellen BlueCoat ProxySG Model 810-5

  • Reporter: 1 Windows server met BlueCoat Reporter software

Bepaalde websites worden geblokkeerd voor de werknemers. BlueCoat deelt alle websites op in een aantal voorgedefinieerde categorieën. Op vraag van het directiecomité en goedgekeurd door het directiecomité worden websites geblokkeerd behorende tot categorieën zoals :

  • Adult/Mature Content

  • Pornography

  • Gambling

  • Games

  • Malicious Sources

  • Phishing

7) De evaluaties gebeuren op basis van de verwezenlijking van de prestatiedoelstellingen, en daarbij mag dus enkel rekening gehouden worden met gegevens en informatie van professionele aard.

In de meeste gevallen staat de voor de evaluatie relevante informatie los van het gebruik van de informatiesystemen, maar voor bepaalde functies (medewerker van het Contact Center, communicatieverantwoordelijke, …) mogen gegevens in verband met het gebruik van de communicatiesystemen en de bekendgemaakte inhoud gebruikt worden.

In geen geval mag de functionele chef persoonlijke informatie of gegevens gebruiken, of de toegang en rechten van de geëvalueerde ambtenaren willekeurig beperken. Hij wordt verantwoordelijk gesteld als er in het kader van de evaluatie misbruiken worden vastgesteld.