Een interessante vraag (en zeker een interessant antwoord van Arnoud Engelfriet) dat op www.security.nl voorbij kwam (bron).
Vraag: Wij hebben klachten van klanten gehad over één van onze medewerkers. Hij zou rare berichten hebben gestuurd met klachten en scheldpartijen over ons bedrijf! We hebben twee mails gezien waar we heel erg van zijn geschrokken. Nu willen we in zijn mailbox kijken wat hij allemaal nog meer heeft verstuurd, maar we hebben geen ICT-reglement. Wat moeten we nu doen?
Vaste lezers weten het al: ook op je werk heb je privacy, ook in de zakelijke mailbox. Een werkgever moet werknemers vooraf informeren over hoe en wanneer er gemonitord wordt en wanneer men toegang kan verkrijgen tot mailboxen. Dit gebeurt meestal door invoering van een protocol (ook wel ‘Acceptable Use Policy’ of ‘Fair Use Policy’). Een protocol mag privégebruik van ict-faciliteiten niet volledig verbieden, maar mag er wel (redelijke) grenzen aan stellen.
We gaan natuurlijk niet het hele antwoord hier aanhalen, want daarvoor kun je rustig doorklikken naar de bron. Maar wel een onderwerp waar binnen veel bedrijven nog onvoldoende aandacht voor is. De grote(re) organisaties hebben hier de afgelopen jaren al wel mee te maken gehad en zijn inmiddels hier wel op voorbereid. Kleinere en middelgrote organisaties worstelen toch nog vaak met dit vraag stuk.
Ook al is het niet geheel onmogelijk om de mailboxen uit te pluizen zonder een reglement, toch is het vaak beter vooraf de spelregels af te spreken. De spelregels dan niet alleen richting de medewerker maar juist ook richting de manager van die medewerker.
We zien nog wel eens dat de manager graag in de mailbox wil kijken. Onder het mom van security, maar eigenlijk omdat hij niet echt grip heeft op zijn medewerker. Hij heeft het gevoel dat ze misschien wel aanwezig zijn, maar in die tijd te weinig voor de baas doen.
Juist om te voorkomen dat de manager de mailbox in kan kijken moet er een reglement zijn. De security manager kan de manager van de medewerker hiermee duidelijk maken wanneer het wel en wanneer het niet geoorloofd is om de mailbox in te kijken en op welke wijze dat dan plaats vindt (nooit door de manager zelf en liefst onder het 4-ogen principe).
Sterker nog, ik ben benieuwd hoe een rechter reageert als door gebrek aan management skills een mailbox kan worden doorgelezen en de medewerker op basis daarvan ontslagen wordt. En is het tegenwoordig niet zo dat we meer en meer toegroeien naar het nieuwe werken?
We willen met medewerkers resultaatverplichtingen aan gaan (tenminste, als je het nieuwe werken ook echt in wilt voeren). Geen aanwezigheidsverplichting dus meer. Is er dan nog wat op tegen als een medewerker, tijdens kantooruren, eens een uurtje of wat zijn tijd niet aan de baas besteedt? Misschien werkt hij wel extra hard in de avonduren en als de resultaten conform afspraken zijn, mag je dan nog klagen als manager?
Een reglement is dus goed om de medewerkers duidelijk te maken wat ze wel en niet mogen en op welke wijze er eventueel in de mailbox gekeken kan worden. Maar een reglement is net zo goed voor de managers om hen aan te geven dat wij, vanuit security, hun managementprobleem niet op gaan lossen.
