Registratiekamer heeft twee petten op

Internet-gebruik op de werkplek neemt steeds meer toe. Exacte cijfers over dit gebruik ontbreken, maar volgens onderzoek van KPMG besteden werknemers 5 procent van de werktijd aan privégebruik van Internet. Internetten kan daarnaast privacy-risico’s, slechte publiciteit voor de werkgever met zich meebrengen. Werkgevers hebben er dus belang bij Internet-gebruik te beperken en te regelen. Niettemin blijken zij vaak terughoudend te zijn zulks te doen, omdat zij vrezen dat beperking van het recht op privacy van hun werknemers niet is toegestaan. Werknemers van hun kant lijken controle op Internet-gebruik al snel te associëren met Big-Brother-achtige en dus afkeurenswaardige taferelen. Aan deze situatie komt de Registratiekamer tegemoet door in het rapport algemene regels te stellen die een handvat kunnen bieden voor het vaststellen van een behoorlijk en zorgvuldig beleid van werkgevers. Op zich is het scheppen van duidelijkheid wenselijk, temeer nu de vertrouwelijkheid van e-mail (nog) geen wettelijke verankering heeft. De regels die de Registratiekamer in het rapport stelt, komen voor ingewijden niet als een verrassing. Opvallend is echter wel dat de kamer de stelling ’Controle is toegestaan, mits...’ omarmt. Kort gezegd is controle toegestaan als de werkgever doelen formuleert die vooraf aan de werknemer kenbaar zijn gemaakt, waarbij tevens de mate van privégebruik van Internet moet worden vastgesteld. De controle moet in overeenstemming met die doelen zijn. De controle dient verder zo beperkt mogelijk te worden uitgevoerd (maatwerk), waarbij privéberichten zoveel mogelijk ontzien dienen te worden. Verkeersgegevens die tijdens de controle als bewijs worden vergaard, mogen niet langer dan noodzakelijk worden bewaard. Werkgevers dienen verder open te zijn over de controle, in die zin dat zij werknemers er in beginsel van op de hoogte moeten stellen, inzage moeten geven in de gevonden gegevens en de (regels met betrekking tot) controle dienen te evalueren. Verder moeten werkgevers verboden gebruik zoveel mogelijk softwarematig proberen te voorkomen. Te ver Er is inmiddels de nodige kritiek op het rapport gekomen. Deze behelst met name het verwijt dat de Registratiekamer te vaag is gebleven. Van de zijde van werkgeversorganisatie VNO/NCW is te horen dat de werkgever nu nog steeds niet weet waar hij aan toe is (Automatisering Gids, 12 januari 2001). In De Volkskrant van 3 februari jongstleden betoogt Tijn Sadée dat de Registratiekamer haar werk niet goed heeft gedaan door geen duidelijke regels te stellen, waardoor zij de bal bij de werkgever heeft gelegd: via privacy-reglementen heeft de werkgever de vrijheid gekregen te bepalen wat wel en wat niet mag. Het betekent de terugkeer van de paternalistische werkgever. Ik deel deze kritiek niet, omdat het goed verdedigbaar is dat de Registratiekamer met het uitbrengen van dit rapport al te ver is gegaan. Het is overigens niet de eerste keer dat de Registratiekamer met een dergelijk rapport komt. Het rapport ’Klant in het web’ van juni 2000 gaf (spel)regels voor het gebruik van consumentengegevens door Internet service providers. En in het rapport ’Als de telefoon wordt opgenomen’ van november 1996 gaf de kamer regels voor het registreren, meeluisteren en opnemen van, door telefonisten gevoerde, telefoongesprekken door werkgevers. Al deze rapporten hebben met elkaar gemeen dat de Registratiekamer door het geven van algemene regels duidelijkheid probeert te scheppen in wat privacy-rechtelijk nu wel en niet door de beugel kan. Dat werkgevers en werknemers (en andere justitiabelen) hierover vaak in onzekerheid verkeren, is bepaald niet verwonderlijk. De privacy-regelgeving bestaat namelijk grotendeels uit min of meer open normen die niet direct eenduidig zijn in te vullen. Kortom, dergelijke rapporten dienen de rechtszekerheid. Maar het nastreven van rechtszekerheid heeft een keerzijde. Waakhond De Registratiekamer wordt wel eens de waakhond van de privacy genoemd. Onder deze metafoor gaan verschillende (wettelijke) functies schuil. Ten eerste heeft de Registratiekamer een adviserende functie. De regering is verplicht het advies van de Registratiekamer te vragen over wetsvoorstellen en ontwerpen van algemene maatregelen van bestuur die geheel of gedeeltelijk betrekking hebben op de verwerking van persoonsgegevens, zoals recentelijk is gebeurd bij de implementatie van de Europese Privacy-richtlijn die heeft geleid tot de Wet bescherming persoonsgegevens (WBP). De Registratiekamer kan ook uit eigen beweging adviezen uitbrengen. De Registratiekamer heeft ten tweede een bemiddelende en adviserende functie voorafgaand aan een gerechtelijke procedure. Ten derde heeft de Registratiekamer een uitvoerende functie, zoals het goedkeuren van de verwerking van gevoelige gegevens of het afgeven van een vergunning voor het doorgeven van persoonsgegevens naar landen buiten de Europese Unie. Ten vierde heeft zij een toezichthoudende functie. Deze toezichthoudende functie openbaart zich onder meer in de onderzoeksbevoegdheid die de Registratiekamer heeft teneinde vast te stellen of de privacy-regels in een specifiek geval zijn nageleefd (waarheidsvinding). Deze onderzoeksbevoegdheid maakt van de kamer een soort privacy-politieagent. Ter uitvoering van de toezichthoudende functie mag de Registratiekamer onder meer woningen tegen de wil van de bewoner binnentreden. Als de verantwoordelijke voor gegevensverwerkingen niet bereid is zijn medewerking aan het onderzoek te verlenen, kan de kamer bestuursdwang toepassen. Nieuw ten opzichte van de Wet Persoonsregistraties (WPR) is dat de Registratiekamer nu ook de bevoegdheid heeft voorafgaand onderzoek in te stellen naar bepaalde gegevensverwerkingen. Indien na onderzoek blijkt dat de verantwoordelijken in strijd met de wet hebben gehandeld, kan de Registratiekamer maatregelen treffen. Zij kan bestuursdwang toepassen (het op kosten van de overtreder opheffen van een onrechtmatige toestand) en boetes opleggen. Dit maakt van de kamer een soort privacy-rechter. Ten slotte werpt de Registratiekamer zich, door het geven van algemene (spel)regels, in de praktijk op als een soort ’wetgever’ op het terrein van privacy. Deze bevoegdheid berust echter noch (rechtstreeks) op de WPR noch op de (komende) WBP. De Registratiekamer heeft dus verschillende petten op. Aan het uitbrengen van dergelijke rapporten door de Registratiekamer kleven enkele principiële en praktische bezwaren, die groter worden naarmate de Registratiekamer meer concrete spelregels formuleert. Deze bezwaren hebben onder meer te maken met de vermenging van de ’wetgevende’ en de ’rechtsprekende’ functie van de Registratiekamer. Trias Politica Wat VNO/NCW en Sadée vergeten is dat het rapport ’Goed werken in netwerken’, gezien de bovengenoemde functies van de Registratiekamer, niet zomaar een rapport is. De algemene regels die de Registratiekamer stelt, hebben in de praktijk bijna een ’wettelijke’ status. Dit staat op gespannen voet met de ’rechterlijke’ functie die de kamer heeft. Dit komt tot uitdrukking in art. 12 Wet Algemene Bepalingen, dat bepaalt: „Geen regter mag bij wege van algemeene verordening, dispositie of reglement, uitspraak doen in zaken welke aan zijn beslissing onderworpen zijn.” In begrijpelijk Nederlands betekent dit dat het de rechter niet is toegestaan op de stoel van de wetgever te gaan zitten. Deze bepaling past in de Trias Politica: het streven om ongecontroleerde staatsmacht via scheiding van machten (in een wetgevende, rechtsprekende en uitvoerende macht) te voorkomen. Deze verschillende machten dienen elkaar volgens Anglo-Amerikaans model in evenwicht te houden en te controleren (’checks and balances’). Weliswaar heeft het verbod van art. 12 betrekking op rechters die bij de Grondwet zijn ingesteld maar in de praktijk is de Registratiekamer, zoals gezegd, zowel rechter als wetgever. Het is dus verdedigbaar de ratio van het artikel ook op de Registratiekamer toe te passen. Dat deze gedachte zo gek nog niet is wordt onderstreept door het feit dat onder de WBP de klachtenregeling van de rechterlijke macht van overeenkomstige toepassing is verklaard op het gedrag van de leden van de Registratiekamer en dat de ontslagregeling van de Wet op de rechterlijke organisatie ook voor de Registratiekamer geldt. Boemerangeffect Het privacy-beleid van de werkgever dient in een privacy-reglement te worden vastgelegd. Dit reglement wordt door de werkgever en de werknemer (via de Ondernemingsraad) gezamenlijk vastgesteld. Hierover zal ongetwijfeld uitgebreid onderhandeld worden, waarbij werknemers zo min mogelijk controle zullen nastreven (zie bijvoorbeeld het concept-reglement van de FNV). De werkgever zal zich juist zoveel mogelijk controlevrijheid willen voorbehouden. Ik acht het niet onwaarschijnlijk dat de werkgever in dezen, met ’Veilig werken in netwerken’ in de hand, een overheersende rol zal kunnen spelen. Het rapport, dat meer en makkelijker controle toelaat dan het concept-reglement van de FNV, heeft immers een enorme autoriteit. Het geeft de werkgever met andere woorden een goede uitgangspositie voor het doordrukken van zijn eigen wensen tot controle. VNO/NCW zou daarom juist tevreden moeten zijn. Maar er zijn meer bezwaren. Wat kan een werknemer doen als er, zoals vaak bij arbeidsconflicten, een geschil ontstaat over de wijze waarop de werkgever met zijn persoonsgegevens omgaat? Hij kan de Registratiekamer vragen onderzoek in te stellen. De kans is echter niet denkbeeldig dat er dan een soort boemerangeffect optreedt: de Registratiekamer zou zich gebonden kunnen zien aan haar eigen regels, hetgeen de onderzoeksfunctie van de kamer uitholt. Hetzelfde zou zich kunnen voordoen, indien de kamer in het geschil bemiddelt. En mocht de Registratiekamer de werkgever op de vingers tikken, dan bestaat de kans dat dit, althans in de ogen van de werkgevers, het gezag van de Registratiekamer aantast. De leer der machtenscheiding probeert situaties als deze te voorkomen. Gemiste kans In arbeidsconflicten die voor de rechter worden uitgevochten, komt het voor dat de werkgever bewijs tegen de werknemer aandraagt dat op een manier is vergaard die op gespannen voet staat met de privacy van die werknemer. Uiteraard is een inbreuk op de privacy onder omstandigheden gerechtvaardigd als de werkgever een redelijke verdenking tegen hem koestert. In de praktijk blijkt de rechter echter weinig gewicht toe te kennen aan het grondrecht op privacy. Zoals J.H.J. Terstegge in Privacy & Informatie 1999/5 opmerkt wordt het meer dan eens weggemoffeld onder de vlag van ’goed werkgeversschap’. Geen wonder dus dat in de rechtspraak een beroep van de werknemer op privacy-bescherming zelden wordt gehonoreerd als hij zich aan onrechtmatig of crimineel gedrag heeft schuldig gemaakt. Ik acht het waarschijnlijk dat de rechtspraak, zeker nu de invoering van de Wet bescherming persoonsgegevens aanstaande is en uitleg zal behoeven, veel waarde hecht aan de mening van de Registratiekamer. In het verleden toonde de Registratiekamer zich meermalen strenger dan de rechtspraak, terwijl zij zich nu juist in de richting van de rechtspraak lijkt te bewegen door zich niet de stelling ’Controle mag niet, tenzij’ eigen te maken. Het lijkt mij dan ook niet waarschijnlijk dat het rapport er de rechter toe zal aanzetten meer waarde te hechten aan het grondrecht op privacy in arbeidsverhoudingen. De bedoeling van de Registratiekamer met ’Goed werken in netwerken’ is een goede. Zij heeft gepoogd rechtszekerheid te scheppen in de privacy-normen die veelal als vaag worden aangemerkt. De kans bestaat echter dat de geformuleerde (spel)regels zich als een boemerang tegen de Registratiekamer kunnen keren. Daarnaast lijkt het erop dat de Registratiekamer een goede kans heeft gemist om het belang van privacy-bescherming in arbeidszaken nog eens te onderstrepen. De kritiek dat het rapport te vaag zou zijn, kan ik in het licht van het bovenstaande niet delen. Als de regels in het rapport concreter zouden zijn geweest dan nu reeds het geval is, zou de spanning tussen rechtsprekende en wetgevende taak van de Registratiekamer nog nijpender geworden zijn. Mr. Maarten E. Heinemann is advocaat bij CMS Derks Star Busmann Hanotiau te Utrecht.