BELGISCHE SENAAT
________
Zitting 2012-2013
________
22 april 2013
________
SENAAT Schriftelijke vraag nr. 5-8835

de Nele Lijnen (Open Vld)

aan de staatssecretaris voor Leefmilieu, Energie en Mobiliteit, toegevoegd aan de minister van Binnenlandse Zaken en Gelijke Kansen, en staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister
________
Personeel - Federale administratie - Monitoring - Controle e-mails en surfgedrag - Afluisteren telefoongesprekken - Privacy - Klachten - Evaluatie
________
telefoon- en briefgeheim
eerbiediging van het privé-leven
ambtenaar
ministerie
internet
elektronische post
plichten van de ambtenaar
overheidsapparaat
________
22/4/2013Verzending vraag
5/9/2013Antwoord
________
Ook gesteld aan : schriftelijke vraag 5-8822
Ook gesteld aan : schriftelijke vraag 5-8823
Ook gesteld aan : schriftelijke vraag 5-8824
Ook gesteld aan : schriftelijke vraag 5-8825
Ook gesteld aan : schriftelijke vraag 5-8826
Ook gesteld aan : schriftelijke vraag 5-8827
Ook gesteld aan : schriftelijke vraag 5-8828
Ook gesteld aan : schriftelijke vraag 5-8829
Ook gesteld aan : schriftelijke vraag 5-8830
Ook gesteld aan : schriftelijke vraag 5-8831
Ook gesteld aan : schriftelijke vraag 5-8832
Ook gesteld aan : schriftelijke vraag 5-8833
Ook gesteld aan : schriftelijke vraag 5-8834
Ook gesteld aan : schriftelijke vraag 5-8836
Ook gesteld aan : schriftelijke vraag 5-8837
Ook gesteld aan : schriftelijke vraag 5-8838
Ook gesteld aan : schriftelijke vraag 5-8839
Ook gesteld aan : schriftelijke vraag 5-8840
________
SENAAT Schriftelijke vraag nr. 5-8835 d.d. 22 april 2013 : (Vraag gesteld in het Nederlands)

Onlangs werd bericht dat bedrijfsleiders steeds vaker de activiteiten van hun personeel op de computer controleren. Zo zou, volgens een steekproef van 413 deelnemers, een op drie bazen de mails van personeelsleden controleren, de helft controleert het surfgedrag en 5 % luistert zelfs telefoongesprekken af. In bepaalde sectoren wordt de mailaccount van een personeelslid gekoppeld aan een alias. Daardoor kan een overste alle e-mails meelezen.

Graag wil ik u volgende vragen stellen:

1) Hoe evalueert u die berichtgeving? Vindt u het wenselijk dat een overste in staat is om bijvoorbeeld de e-mails of het surfgedrag van een personeelslid te controleren? Vindt u dat een inbreuk op de privacy, of toelaatbaar omdat de controle in een professionele omgeving gebeurt? Vindt u het toelaatbaar indien de werknemer duidelijk weet dat hij of zij gecontroleerd kan worden?

2) Zijn er reeds klachten geweest van personeelsleden over zulke praktijken? Hebben er dus al mensen geklaagd dat hun privacy op zulk een manier geschonden werd? Kunt u dat toelichten met cijfers als die beschikbaar zijn?

3) Zelfs al hebt u geen weet van dergelijke controlepraktijken, weet u of de apparatuur of de IT van uw Federale Overheidsdienst het mogelijk maakt om het surfgedrag te controleren? Worden de mailbox of het mailverkeer gemonitord of actief gecontroleerd? Kan hij toelichten?

4) Is het mogelijk om mee te luisteren naar telefoongesprekken? Indien ja, kunt u toelichten?

5) Worden uw werknemers ingelicht over mogelijke controles en hun privacy? Weten zij aldus wat al dan niet gecontroleerd kan worden? Kunt u toelichten?

6) Kan een werknemer op het internet alle websites bezoeken, of zijn bepaalde websites geblokkeerd? Zo ja, waarom? Kunt u toelichten?

7) Kan bij een evaluatie van de prestaties van een werknemer het resultaat van een dergelijke controle (mails, internet, telefoon, enz.) gebruikt worden? Kunt u toelichten?

Antwoord ontvangen op 5 september 2013 :

Voor wat de Federale Overheidsdienst (FOD) Mobiliteit ) betreft:

1. Onderstaande wetteksten geven duidelijk weer hoe wij als overheid ons hierin moeten gedragen.

Het telefoon- en telegraafgeheim (waaronder ook e-mail valt) wordt beschermd door de wet van 21 maart 1991 betreffende de hervorming van sommige economische overheidsbedrijven (kort: Belgacomwet) en de wet van 30 juni 1994 (telefoontapwet of afluisterwet).

2. Tot op heden hebben wij nog geen officiële klacht in verband met het schenden van de privacy naar aanleiding van bovenvermelde onderwerpen mogen ontvangen.

3. Technisch is het mogelijk om surfgedrag of mailverkeer te monitoren.

Globaal mailverkeer en surfgedrag wordt actief bewaakt om de goede werking van het netwerk en de beveiliging te verzekeren , denk hierbij aan antivirus software en de controle acties door bijvoorbeeld (web application ) firewalls.

De inhoud van de berichten wordt niet actief gemonitord, behalve wanneer er voldaan is aan een van de drie uitzonderingen zoals vermeld in de Belgacomwet (artikel 109ter E Belgacomwet).

4. Technisch is het mogelijk om telefoongesprekken af te luisteren of op te nemen.

Er wordt echter niet meegeluisterd of er worden geen gesprekken opgenomen. Behalve wanneer er voldaan is aan een van de drie uitzonderingen zoals vermeld in de Belgacomwet (artikel 109terE Belgacomwet ), kan overwogen kan hiertoe overwogen worden. Tot op heden heeft dit zich nog nooit voorgedaan.

5. Het door het Directiecomité goedgekeurd IT-reglement brengt de gebruikers via het intranet op de hoogte van mogelijke controles (artikel 3, § 7; artikel 11) en van de inachtneming van de privacywetgeving (artikel 11).

6. Websites worden gecatalogeerd naargelang hun inhoud en hun risico. Bepaalde websites zijn geblokkeerd, op basis van het IT-reglement. Het gaat hier om websites met racistische of pornografische inhoud, websites die een gevaar betekenen voor de IT-infrastructuur (virussen, hacking tools) of websites die toelaten auteursrechten te omzeilen.

7. Neen daar dit niet toegelaten is door de wetgeving.

Gezien de privacywetgeving doet de IT-dienst geen enkele mededeling omtrent het surfverkeer en telefoongedrag van een werknemer. Bijgevolg zijn chefs, het management, de personeelsdienst, etc. niet op de hoogte van de surfgewoontes van een werknemer via de IT-dienst. Het blijft natuurlijk mogelijk dat een chef een visuele controle doet, door bv. regelmatig langs te gaan bij een ondergeschikte en te kijken of hij zijn werk doet dan wel zit te surfen naar niet-werkgerelateerde websites en deze bevindingen laat doorwegen in zijn evaluatie. Doch dit soort controles zijn niet geautomatiseerd.

Voor wat de FOD Volksgezondheid en Leefmilieu betreft:

1. De FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu heeft beslist om de persoonsgegevens en de communicatiegegevens van zijn ambtenaren te beschermen.

In die zin staat de FOD een beperkt en verstandig gebruik van de informatiesystemen voor persoonlijke doeleinden door de medewerkers toe, in alle vertrouwelijkheid.

Die beslissing is ingegeven door de wetgeving en in het bijzonder de rechtspraak van het Europees Hof voor de Rechten van de Mens.

De scheiding van de verantwoordelijkheden tussen de FOD en de ambtenaren is in overeenstemming met de privacywetgeving en past, volgens de adviezen van de Commissie voor de bescherming van de persoonlijke levenssfeer, de in de Collectieve Arbeidsovereenkomst nr. 81 geformuleerde beginselen voor het beheer van informatiesystemen toe:

  • De persoonsgegevens en persoonlijke informatie alsook de persoonlijke communicatiegegevens worden geheimgehouden;

  • De monitoring van de systemen is passief en heeft tot doel de functionaliteit van de informatiesystemen te beschermen;

  • De ambtenaren worden op de hoogte gebracht van de monitoringfunctionaliteiten;

  • Het verlies van prestatievermogen of functionaliteiten wordt in eerste instantie collectief aangepakt;

  • Herhaald en manifest misbruik leidt slechts na twee verwittigingen en na gesprekken met de functionele chef tot sancties;

  • De toegang tot professionele informatie en communicatiegegevens die betrekking hebben op persoonlijke middelen, volgt zeer strikte procedures en wordt gecontroleerd door de dienst Psychosociale Preventie en/of de adviseur Informatieveiligheid.

Die beginselen gelden in het bijzonder voor:

  • het telefoonverkeer;

  • het gebruik van het e-mailsysteem;

  • het bezoeken van internetsites;

  • het opslaan van files op de persoonlijke netwerkschijven.

2. Klachten kunnen, naargelang van de context, ingediend worden bij:

  • de stafdienst P&O (hiërarchische interacties);

  • de dienst Psychosociale Preventie (klachten inzake pesterijen);

  • de adviseur Informatieveiligheid (veiligheidsincidenten).

Blijkbaar werd nooit enige klacht ingediend, bij geen enkele van die instanties.

Daarentegen waren er meerdere klachten van functionele chefs die betrekking hadden op het feit dat zij niet konden beschikken over dienstinformatie doordat de beheerders van die dossiers afwezig waren. Precies die vragen lagen ten grondslag aan de invoering van procedures voor het bezoeken van persoonlijke ruimte.

3. Er is geen actieve monitoring of controle op de mailboxen. Enkel mailboxen die niet beheerd worden en vol geraken (en dus foutboodschappen genereren) krijgen een actieve opvolging: de eigenaar of zijn dienst wordt gecontacteerd om de situatie uit te klaren en te corrigeren.

Back-ups van mailboxen worden enkel gebruikt om de service naar de medewerker te garanderen: herstel van verloren of verkeerdelijk gewiste mails is hierdoor mogelijk.

De opvolging van het gebruik van en de beschikbare ruimte op de persoonlijke netwerkschijven volgt dezelfde logica.

De internettoegangen worden uitsluitend gemonitord om de functionaliteit van de netwerkverbindingen te verzekeren.

4. De meeste telefoontoestellen staan niet in verbinding met een systeem waarmee telefonisch meeluisteren mogelijk is. In dat geval is afluisteren technisch onmogelijk.

Slechts bij één systeem zijn ‘uitgebreide functionaliteiten’ mogelijk. Dat systeem wordt gebruikt in het Contact Center van de FOD. Telefonisch meeluisteren in het Contact Center maakt deel uit van een specifieke bijlage van het arbeidsreglement, waarvan de belangrijkste bepalingen de volgende zijn:

  • meeluisteren op afstand kan enkel bij professionele gesprekken en dit door elk personeelslid dat een support-functie uitoefent ten opzichte van de operator. In de praktijk zijn het de teamleaders (functionele leidinggevenden) die meeluisteren ;

  • de operator wordt hierbij niet vooraf verwittigd wanneer de teamleader gesprekken van hem/haar beluistert ;

  • meeluisteren op afstand kan enkel in het kader van coaching en de resultaten kunnen geenszins gebruikt worden bij de evaluatie van de operator ;

  • na elke meeluistersessie geeft de coach feedback aan de operator ten laatste de dag na de meeluistersessie ;

  • het beluisteren van de professionele gesprekken van de operator is enkel mogelijk mits de uitdrukkelijke schriftelijke toestemming van de operator. Hij heeft het recht het meeluisteren te weigeren. Hij kan ook te allen tijde zijn gegeven akkoord intrekken. Dit laatste dient eveneens schriftelijk te gebeuren ;

  • Indien ondanks de uitdrukkelijke toestemming van de operator en de klant het gesprek naar een strikte privésfeer evolueert zonder dat er iets van de aangegane professionele relatie overblijft, is de uitvoerende coach verplicht het meeluisteren onmiddellijk stop te zetten;

  • naast meeluisteren op afstand mogen de teamleaders ook meeluisteren aan de zijde van de operator. Aangezien de operator hierbij weet dat zijn/haar gesprekken worden beluisterd, kunnen de resultaten van deze meeluistersessies wel gebruikt worden bij de evaluatie.

5. De gebruikers worden op de hoogte gebracht van het bestaan van een monitoringsysteem voor:

  • internettoegangen via een bericht dat elke maand automatisch verschijnt; de gebruiker moet die controle uitdrukkelijk goedkeuren om toegang te krijgen tot websites buiten de FOD;

  • het gebruik van het e-mailsysteem telkens als de mailboxen te vol zitten;

  • het opslaan van files op de persoonlijke schijven wanneer geprobeerd wordt om “verboden” files te bewaren of wanneer de servers overbelast zijn.

Er is geen veiligheidspolicy tot reglementering van het gebruik van de internet- en mailsystemen goedgekeurd door het Directiecomité en het Basisoverlegcomité.

6. De toegang tot de Internetwebsites wordt gefilterd door een BlueCoat proxy. Via deze proxy kan de toegang tot bepaalde websites geblokkeerd of toegelaten worden. Er kan onder andere worden gefilterd op bron (wie surft), op bestemming (naar welke website mag worden gesurft) en tijd (wanneer mag naar waar worden gesurft). Alle webaanvragen die de proxy passeren, worden gelogd en deze logginggevens worden naar een BlueCoat Reporter gestuurd.

De BlueCoat Reporter slaat alle webaanvragen op in een database. Zo kan de BlueCoat Reporter allerhande statistieken genereren en rapporten opmaken, zoals:

  • Web browsing per user ;

  • Web browsing per categorie ;

  • Gebruikte Bandbreedte ;

  • Security gerelateerde web browsing (geblokkeerde websites, potential threats).

Er is geen systematische rapportering hierover. Indien nodig geacht kan een rapport op aanvraag van de Voorzitter van het directiecomité (of zijn vervanger) afgeleverd worden.

De gebruikte apparatuur:

  • Proxy: twee toestellen BlueCoat ProxySG Model 810-5

  • Reporter: een Windows server met BlueCoat Reporter software

Bepaalde websites worden geblokkeerd voor de werknemers. BlueCoat deelt alle websites op in een aantal voorgedefinieerde categorieën. Op vraag van het directiecomité en goedgekeurd door het directiecomité worden websites geblokkeerd behorende tot categorieën zoals :

  • Adult/Mature Content

  • Pornography

  • Gambling

  • Games

  • Malicious Sources

  • Phishing

7. De evaluaties gebeuren op basis van de verwezenlijking van de prestatiedoelstellingen, en daarbij mag dus enkel rekening gehouden worden met gegevens en informatie van professionele aard.

In de meeste gevallen staat de voor de evaluatie relevante informatie los van het gebruik van de informatiesystemen, maar voor bepaalde functies (medewerker van het Contact Center, communicatieverantwoordelijke, …) mogen gegevens in verband met het gebruik van de communicatiesystemen en de bekendgemaakte inhoud gebruikt worden.

In geen geval mag de functionele chef persoonlijke informatie of gegevens gebruiken, of de toegang en rechten van de geëvalueerde ambtenaren willekeurig beperken. Hij wordt verantwoordelijk gesteld als er in het kader van de evaluatie misbruiken worden vastgesteld.

Voor wat de FOD Economie betreft:

Mijn collega, de heer Johan Vande Lanotte, minister van Economie, Consumenten en Noordzee, heeft in het antwoord op parlementaire vraag nr. 5-8825 dezelfde vragen beantwoord.