Rechtmatig Operationeel Handelen in ICT

Het Operationeel Handelen van ICT medewerkers valt vaak onder de werking van de AVG / GDPR. Het is daarom goed om een reglement voor dit handelen op te stellen en binnen je organisatie bekend te maken. Dan weet iedereen waar hij of zij aan toe is.

Dit artikel brengt de juridische aspecten in kaart van Rechtmatig Operationeel Handelen, dat wil zeggen handelingen met betrekking tot ICT-systemen, data en communicatie. Behandeld worden algemene rechten en plichten van ICT-medewerkers en gebruikers en de belangrijkste wet- en regelgeving, zoals de AVG (GDPR). Vervolgens bespreken we drie typen van operationeel handelen vanuit het perspectief van een ICT-medewerker:

• Autorisatie- en systeembeheer.
• Het loggen en monitoren van systemen.
• Het verstrekken van gegevens.

Deze aspecten zijn eerder behandeld in een publicatie op Surfnet.nl voor onderwijsinstellingen, doch aangepast aan de AVG / GDPR. De regels zijn goed algemeen toepasbaar.

Uitgangspunten voor Operationeel Handelen

De organisatie is verantwoordelijk voor het handelen van haar ICT-medewerkers en de omgang met persoonsgegevens. Voor de bevoegdheden en taakafbakening van ICT-medewerkers geldt vaak al een reglement. Bijvoorbeeld op basis van de model-integriteitscode van SURF. De belangrijkste normen voor wat er mag en niet mag bij operationeel handelen zijn het goed werkgeverschap en het goed werknemerschap.

Werknemers mogen vaak gebruik maken van ICT-faciliteiten van de organisatie, ook enigermate voor privédoeleinden. Daarbij kunnen zij verwachten dat hun privacy wordt beschermd. De organisatie mag wel toezicht houden op het ICT-verkeer, maar gebruikers moeten weten waar ze aan toe zijn. Daarom is het belangrijk dat de organisatie een gedragscode ICT-gebruik heeft. Daarin worden zowel de grenzen van gebruik als de vorm van toezicht specifiek beschreven. Als we bij het operationeel handelen persoonsgegevens verwerken – en dat zal snel het geval zijn – is de AVG / GDPR van toepassing.

Het verwerken van persoonsgegevens mag alleen voor welomschreven doelen met een legitieme grondslag. Zoals toestemming of een wettelijke plicht, en de verwerking moet zich tot het aangegeven doel beperken. Persoonsgegevens moeten we ook adequaat beveiligen, en gebruikers hebben inzage- en correctierechten. Voor specifieke vormen van rechtmatig operationeel handelen zijn de belangrijkste juridische voorwaarden in het reglement als volgt:

Controles Operationeel Handelen

1. Aanpassen van wachtwoorden. Dit moet altijd vooral zorgvuldig gebeuren, verder zijn er geen juridische vereisten.
2. Afsluiten van een account of faciliteiten. De voorwaarden en procedure hiervoor moeten kenbaar moeten zijn. Bij voorkeur door opname van bepalingen in het arbeidscontract  dan wel de gedragscode.
3. Beveiligen van (persoons)gegevens. Dit moet naar de stand van de techniek versleuteld plaatsvinden. ICT-medewerkers moeten geheimhouding betrachten als zij kennisnemen van persoonsgegevens. ICT medewerkers moeten een geheimhoudingsverklaring tekenen.
4. Algemene controle op email- en Internetverkeer. Hierbij mogen we nooit kennis nemen van communicatie-inhoud (gesprekken, email). Bovendien is toestemming voor controlesystemen nodig van de ondernemings- of medezeggenschapsraad. De controle moet tevens proportioneel zijn. Waar mogelijk moeten we gegevens anonimiseren. De voorwaarden en procedure moeten vooraf kenbaar zijn voor alle gebruikers en dus goed vindbaar zijn op het intranet.
5. Specifieke controle op email- en Internetverkeer bij verdenking van misbruik. Hiervoor gelden dezelfde voorwaarden als bij algemene controle, zoals een proportionele en kenbare procedure. In principe mag er echter meer bij concrete, incidentele gevallen. Inzage in de inhoud van gesprekken of email is toegestaan als dit strikt noodzakelijk is. En het misbruik kunnen we niet op een andere manier bestrijden. Ook privécommunicatie mogen we in zwaarwegende gevallen controleren; de sancties op misbruik moeten in de gedragscode zijn vermeld.

Operationeel Handelen en het Verstrekken van gegevens

1. Verstrekken van gegevens aan collega’s of leidinggevende. Het is raadzaam om regels over het verstrekken van persoonsgegevens aan derden, voor zover al niet geregeld in de arbeidsovereenkomst, vast te leggen in een gedragscode of privacyreglement. Verder gelden de regels van de AVG / GDPR. Er is een legitieme grondslag nodig (toestemming van de medewerker, een contractuele verplichting of een zwaarwegend organisatiebelang) en de verstrekking moet nodig en proportioneel zijn; voor zakelijke belangen mag je geen privégegevens, zoals persoonlijke mails of bestanden, verstrekken.
2. Verstrekken van gegevens aan familie. Op basis van de AVG / GDPR zal dit zelden toegestaan zijn. Tenzij de betrokkene toestemming heeft gegeven of is overleden. Maar ook in die gevallen moet de instelling een zorgvuldige afweging maken.
3. Verstrekken van gegevens aan derden zoals auteursrechtorganisaties. Dit is alleen toegestaan als de derde aantoonbaar een duidelijk belang heeft bij de gegevens, deze niet op andere wijze kan verkrijgen. Het belang van de derde moet tevens zwaarder wegen dan dat van de gebruiker. Bij gerede twijfel kan de organisatie weigeren en afwachten of de derde via de rechter toegang tot de gegevens eist.
4. Verstrekken van gegevens aan politie en justitie. Bij een (schriftelijk) bevel tot verstrekking moet de organisatie meewerken. Daarbij kunnen we alleen letten op evidente fouten in het bevel, zoals het ontbreken van voldoende autorisatie (van een officier van justitie voor andere dan identificerende gegevens, en van de rechter-commissaris voor gevoelige gegevens).
5. Verstrekken van gegevens aan andere overheidsdiensten. Bijzondere opsporingsdiensten en toezichthouders hebben ruime bevoegdheden om inlichtingen en gegevens op te vragen. Voor zover deze redelijkerwijs nodig zijn voor de uitoefening van hun taak, waarbij de organisatie tevens verplicht is mee te werken. Inlichtingen- en veiligheidsdiensten kunnen alleen op vrijwillige basis gegevens opvragen. De AVG / GDPR blijft van kracht.

Discussieer mee op LinkedIn.