• 1.

  het Privacy- en gebruiksreglement bedrijfsmiddelen provincie vast te stellen;

 

• 2.

  in te trekken:

  • •

    het Reglement gebruik bedrijfsmiddelen, zoals vastgesteld bij hun besluit van 12 juli 2005, kenmerk 5.26/2005006599

  • •

    de Uitvoeringsvoorschriften ten behoeve van de beschikbaarstelling van bedrijfsmiddelen, zoals vastgesteld bij hun besluit 21 december 2004, kenmerk 5.26/2005006599;

  • •

    de Uitvoeringsvoorschriften ten behoeve van de beschikbaarstelling van een mobiele telefoon aan ambtenaren voor de uitoefening van werkzaamheden voor de provincie Drenthe, zoals vastgesteld bij hun besluit 21 december 2004, kenmerk 5.26/2005006599.

 

Dit besluit treedt in werking op 1 januari 2018.

 

Gedeputeerde Staten voornoemd,

 

J.J. van Aartsen, voorzitter

drs. W.G.H.M. Rutten, wnd. secretaris

 

 

 

Uitgegeven 29 december 2017

 

Artikel 1 Begripsomschrijvingen

In dit reglement wordt verstaan onder:

• a.

  archiefwet: de Archiefwet 1995;

• b.

  bedrijfsmiddelen: de middelen en faciliteiten van de provincie Drenthe die door de medewerker worden gebruikt bij de uitoefening van zijn werkzaamheden, alsmede overige voorzieningen die bij de provincie Drenthe aanwezig zijn;

• c.

  beheerder: de medewerker die belast is met het beheer en die inzage heeft in de loggegevens van een systeem of bedrijfsmiddel;

• d.

  bestaande praktijk: hetgeen in de maatschappij en meer in het bijzonder bij de provincie gebruikelijk is;

• e.

  controle: het volgen van het gebruik van bedrijfsmiddelen door kennis te nemen van de inhoud van de berichten, bestanden en/of bezochte websites en het onderzoeken van rekeningen;

• f.

  de directie: de directeur-secretaris of zijn plaatsvervanger en de statengriffier ten aanzien van de medewerkers van de Statengriffie;

• g.

  digitale bedrijfsmiddelen: de door de provincie Drenthe aan de medewerker ter beschikking gestelde bedrijfsmiddelen waarmee informatie digitaal kan worden opgeslagen en verwerkt en die geschikt zijn voor de uitwisseling van informatie via digitale weg;

• h.

  integriteitsschending: een overtreding of een concreet vermoeden van een overtreding van interne dan wel externe wet- en regelgeving, waarbij de betrouwbaarheid van een medewerker mogelijk in het geding is;

• i.

  loggegevens: de door middel van logging verzamelde gegevens over het gebruik van digitale bedrijfsmiddelen;

• j.

  logging: geautomatiseerde vastlegging van gegevens over het gebruik van digitale bedrijfsmiddelen;

• k.

  medewerker: degene die werkzaam is ten behoeve van de provincie Drenthe;

• l.

  observatie: het volgen van het gebruik van bedrijfsmiddelen door kennis te nemen van de verkeers- en loggegevens en door het genereren van kengetallen;

• m.

  persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

• n.

  verkeersgegevens: gegevens over gedrag van medewerkers met betrekking tot het gebruik van digitale bedrijfsmiddelen, die niet de inhoud van de berichten of bestanden betreffen;

• o.

  Wbp: de Wet bescherming persoonsgegevens.

 

Artikel 2 Reikwijdte

Dit reglement is van toepassing op alle medewerkers van de provincie Drenthe.

 

Artikel 3 Gebruik van bedrijfsmiddelen

• 1.

  Medewerkers gaan met de aan hen ter beschikking gestelde bedrijfsmiddelen zorgvuldig, met respect en eerlijk om.

• 2.

  Bij het gebruik van bedrijfsmiddelen brengen medewerkers de goede naam en de reputatie van de provincie Drenthe of de medewerkers van de provincie Drenthe niet in gevaar.

• 3.

  Medewerkers houden zich aan de voorschriften en instructies van de provincie Drenthe die van toepassing zijn op het gebruik van de bedrijfsmiddelen.

• 4.

  Medewerkers gebruiken bedrijfsmiddelen op een efficiënte manier en nemen redelijke en gepaste maatregelen om kosten of schade voor de provincie Drenthe te beperken.

• 5.

  Medewerkers voorkomen ongeoorloofd gebruik van bedrijfsmiddelen.

 

Artikel 4 Zakelijk en persoonlijk gebruik

• 1.

  Bedrijfsmiddelen zijn naar het oordeel van de provincie Drenthe noodzakelijk voor de uitoefening van de functie dan wel de opdracht en derhalve bestemd voor zakelijk gebruik.

• 2.

  Beperkt persoonlijk gebruik van bedrijfsmiddelen is toegestaan, mits:

  • a.

    de uitoefening van de taken en werkzaamheden van de medewerker of anderen daardoor niet wordt gehinderd;

  • b.

    de bedrijfsmiddelen niet worden gebruikt voor commerciële doeleinden.

 

Artikel 5 Gebruik van digitale bedrijfsmiddelen

• 1.

  Bij het gebruik van digitale bedrijfsmiddelen respecteert de medewerker het informatiebeveiligingsbeleid en handelt hiernaar.

• 2.

  De medewerker neemt te allen tijde de beveiligingsmaatregelen van de provincie Drenthe in acht en omzeilt deze niet.

• 3.

  De medewerker zorgt voor registratie van inkomende en uitgaande e-mails of andere communicatie-uitingen, die conform de Archiefwet moeten worden aangemerkt als archiefbescheiden.

• 4.

  Het gebruik van digitale bedrijfsmiddelen wordt door de provincie Drenthe geobserveerd, met inachtneming van de voorwaarden als bedoeld in artikel 7 van dit reglement.

• 5.

  Het gebruik van digitale bedrijfsmiddelen kan door de provincie Drenthe worden gecontroleerd met inachtneming van de voorwaarden als bedoeld in artikel 8 van dit reglement.

 

Artikel 6 Verkeers- en loggegevens

• 1.

  Verkeersgegevens van digitale bedrijfsmiddelen worden gemonitord.

• 2.

  Het gebruik van digitale bedrijfsmiddelen kan worden gelogd.

• 3.

  De verkeers- en loggegevens zijn uitsluitend toegankelijk voor de hiertoe geautoriseerde beheerders.

 

Artikel 7 Observatie van bedrijfsmiddelen

• 1.

  Observatie in het kader van dit reglement vindt plaats op basis van verkeersgegevens.

• 2.

  Verkeersgegevens zijn in beginsel niet herleidbaar tot individuele medewerkers.

• 3.

  Het observeren van gebruik van de digitale bedrijfsmiddelen vindt doorlopend en uitsluitend plaats in het kader van een of meer van de volgende doelen:

  • a.

    na te gaan hoe het gebruik van bedrijfsmiddelen zich in kwalitatieve en kwantitatieve zin ontwikkelt;

  • b.

    hoe de beschikbare bedrijfsmiddelen worden ingezet;

  • c.

    systeem- en netwerkbeveiliging;

  • d.

    het verschaffen van managementinformatie in verband met de beheersing van kosten en capaciteit.

 

Artikel 8 Controle van bedrijfsmiddelen na vermoeden misstand

• 1.

  Controle in het kader van dit reglement kan plaatsvinden op verkeers- en loggegevens van individuele of groepen medewerkers. De directie kan altijd opdracht geven tot controle.

• 2.

  Het controleren van het gebruik van de digitale bedrijfsmiddelen vindt slechts plaats in het kader van één of meer van de volgende doelen:

  • a.

    het toezicht op de naleving van de Gedragscode ambtelijke integriteit van de provincie Drenthe;

  • b.

    het ingrijpen bij integriteitsschendingen of vermoedens daarvan;

  • c.

    de bescherming van vertrouwelijke informatie van de provincie Drenthe;

  • d.

    de bescherming van de goede reputatie van de provincie Drenthe.

• 3.

  Bij controle worden de beginselen van proportionaliteit en subsidiariteit in acht genomen.

• 4.

  De opdracht wordt schriftelijk verstrekt en er wordt een termijn verbonden aan de duur van de controle.

• 5.

  De directie kan een leidinggevende machtigen tot het geven van opdracht tot controle.

• 6.

  Betrokkenen worden vooraf over de controle ingelicht, tenzij er zwaarwegende redenen zijn dit achterwege te laten.

• 7.

  Geconstateerd niet-toegestaan gedrag wordt zo spoedig mogelijk met betrokkene(n) besproken, tenzij er gegronde redenen bestaan om hiermee te wachten.

• 8.

  Na afloop van een controle worden de verzamelde gegevens vernietigd, tenzij deze gegevens naar het oordeel van de directie nodig zijn in verband met een disciplinaire en/of gerechtelijke procedure.

 

Artikel 9 Bewaartermijn

• 1.

  Verkeers- en loggegevens worden afhankelijk van het in de artikelen 7 en 8 genoemde doel bewaard, waarna ze worden vernietigd.

• 2.

  Persoonsgegevens die worden verwerkt in het kader van de controle worden niet langer bewaard dan noodzakelijk, conform artikel 10 Wbp.

 

Artikel 10 Medewerkers met een bijzondere status

• 1.

  Berichten van of aan de Ondernemingsraad, het Georganiseerd Overleg, de directie, leden van Provinciale Staten, Gedeputeerde Staten en de provinciaal archiefinspecteur worden in een daarvoor bestemde postbus bewaard. Controle kan in die gevallen alleen plaatsvinden na goedkeuring van de commissaris van de Koning of diens plaatsvervanger.

• 2.

  Berichten van of aan de bedrijfsarts, externe klachtencommissies, vertrouwenspersonen en het meldpunt voor een vermoeden van misstanden worden in een daarvoor bestemde postbus bewaard en zijn van controle uitgezonderd.

• 3.

  Bij controle van het gebruik van digitale bedrijfsmiddelen door de in de leden 1 en 2 genoemde personen en organen wordt extra zorgvuldigheid in acht genomen.

 

Artikel 11 Melding van verlies of diefstal

De medewerker meldt verlies of diefstal van een bedrijfsmiddel direct aan de servicedesk van de provincie Drenthe en doet in geval van diefstal aangifte bij de politie.

 

Artikel 12 Slotbepalingen

• 1.

  Dit reglement wordt aangehaald als Privacy- en gebruiksreglement bedrijfsmiddelen.

• 2.

  In gevallen waarin dit reglement niet voorziet, beslist de directie.

• 3.

  De directie kan nadere voorschriften en voorwaarden vaststellen ter uitvoering van dit reglement.

• 4.

  Dit reglement treedt in werking op 1 januari 2018, nadat zij is bekendgemaakt in het Provinciaal blad.

• 5.

  Het reglement gebruik bedrijfsmiddelen, zoals vastgesteld bij Besluit van Gedeputeerde Staten van Drenthe van 12 juli 2005, kenmerk 5.26/2005006599, komt met ingang van de in lid 4 genoemde datum van inwerkingtreding te vervallen. Voorts komen dan te vervallen 'De uitvoeringsvoorschriften ten behoeve van de beschikbaarstelling van bedrijfsmiddelen' en 'De uitvoeringsvoorschriften ten behoeve van de beschikbaarstelling van een mobiele telefoon aan ambtenaren voor de uitoefening van werkzaamheden voor de provincie Drenthe.'

 

Toelichting bij het Privacy- en geb ruiksreglement bedrijfsmiddelen

 

Algemeen

Dit reglement bevat een uitwerking over de wijze waarop met bedrijfsmiddelen moet worden omgegaan. Dit reglement gaat uit van de eigen verantwoordelijkheid van de medewerker bij het gebruik van bedrijfsmiddelen. Doel van dit reglement is om een kader te scheppen waarbinnen de medewerker zijn eigen afweging dient te maken. In geval van twijfel dient de medewerker met zijn leidinggevende te overleggen.

 

De provincie Drenthe wil tevens inzicht kunnen hebben in de wijze waarop medewerkers de aan hen ter beschikking gestelde (digitale) bedrijfsmiddelen gebruiken. Een van de manieren om dit inzicht te verkrijgen is het op automatische wijze vastleggen van bepaalde gebruiksgegevens, ook wel verkeersgegevens genoemd. Dit reglement geeft aan hoe de provincie Drenthe omgaat met het observeren van en de controle op het gebruik van digitale bedrijfsmiddelen door haar medewerkers en bepaalt de grenzen waarbinnen de provincie Drenthe mag opereren. Zodra er sprake is van controle, raakt dat de privacy van de medewerker. Daarom wordt in dit reglement een goede balans nagestreefd tussen het belang van de provincie Drenthe om het gebruik van digitale bedrijfsmiddelen te controleren en het belang van de medewerker bij bescherming van zijn privacy. De provincie Drenthe handelt bij het controleren van de medewerkers in lijn met de eisen in de Wbp.

 

Artikel 1 Begripsomschrijvingen

Medewerker

Onder medewerker in de zin van dit reglement wordt iedereen verstaan die ten behoeve van de provincie Drenthe werkzaamheden verricht, onafhankelijk van de wijze waarop de relatie tussen de provincie Drenthe en deze persoon is vormgegeven. Bedoeld worden in ieder geval de werknemer (als bedoeld in artikel A.1 van de CAP) met een vaste of tijdelijke aanstelling, maar ook de inhuurkracht, uitzendkracht, stagiair of gedetacheerde. Het gaat dus om werknemers en daarmee vergelijkbare personen, die naar het redelijke oordeel van de provincie Drenthe voor een behoorlijke vervulling van hun dienstbetrekking, dan wel voor de door hen voor de provincie Drenthe te vervullen opdracht de beschikking dienen te hebben over de bedrijfsmiddelen. Hieronder vallen ook personen die dagelijks gebruik kunnen maken van bedrijfsmiddelen en de technische infrastructuur van de provincie Drenthe.

Dit reglement is niet van toepassing op de commissaris van de Koning, Gedeputeerde Staten en Provinciale Staten.

 

Bedrijfsmiddelen

Met bedrijfsmiddelen worden in algemene zin bedoeld de middelen en faciliteiten van de provincie Drenthe die door de medewerker worden gebruikt bij de uitoefening van zijn werkzaamheden, evenals overige zaken die bij de provincie Drenthe aanwezig zijn, zoals bedoeld in dit reglement. Bedrijfsmiddelen zijn gereedschappen, laptops, computers (hard- en software), pennen, maar bijvoorbeeld ook lockers, tafels, stoelen en papier.

 

Dit reglement heeft alleen betrekking op het observeren en controleren van het gebruik van digitale bedrijfsmiddelen. De definitie van digitale bedrijfsmiddelen luidt: 'de door de provincie Drenthe aan de medewerker ter beschikking gestelde bedrijfsmiddelen waarop informatie digitaal kan worden opgeslagen en die geschikt zijn voor de uitwisseling van informatie via digitale weg'.

 

Dit reglement geeft, vanwege hun bijzondere aard, enkele bijzondere regels voor het gebruik van digitale bedrijfsmiddelen. Momenteel vallen onder dit begrip in ieder geval internet op de werkplek, e-mail, smartphone, tablet, het digitale archiefsysteem en netwerkschijven. Let wel, deze opsomming is niet limitatief.

 

Persoonsgegeven

De definitie van persoonsgegevens conform de definitie van persoonsgegeven zoals opgenomen in artikel 1, onder a, van de Wbp. Dat houdt zoveel in dat alle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon, persoonsgegevens zijn. Ook gegevens die indirect identificerend zijn vallen hieronder; hiervan is bijvoorbeeld sprake wanneer gegevens zijn geanonimiseerd, maar in combinatie met andere gegevens kunnen worden herleid tot een persoon.

 

Verkeersgegevens

Verkeersgegevens betreffen onder meer duur, aantal en tijdstip van het gebruik van digitale bedrijfsmiddelen. In feite gaat het over datgene wat wordt vastgelegd.

 

Beheerder

De integriteit van de systeembeheerder wordt gewaarborgd in de algemene geheimhouding die voor ambtenaren geldt in onder andere de CAP en het gevoerde organisatiebeleid binnen de provincie Drenthe.

 

Artikel 4 Zakelijk en persoonlijk gebruik

Artikel F.1, zesde lid, van de CAP verbiedt de medewerker om ten eigen bate of ten bate van derden aan de provincie toebehorende eigendommen te gebruiken zonder schriftelijke toestemming. Hoewel bedrijfsmiddelen voor zakelijk gebruik worden verstrekt, kan beperkt persoonlijk gebruik op grond van artikel 4, tweede lid, onder a tot en met c, toegestaan zijn. Artikel 4, lid 2, kan als een vorm van schriftelijke toestemming worden beschouwd voor persoonlijk gebruik, zoals bedoeld in de genoemde artikelen van de CAP. De vereisten, genoemd in artikel 4, tweede lid, zijn cumulatief.

 

In de praktijk kan de vraag rijzen waar de grens tussen toelaatbaar en ontoelaatbaar gebruik ligt. Een specifieke regel is hiervoor niet te geven; een redelijke beantwoording van de vraag zal afhangen van de aard van het bedrijfsmiddel en de aard van het persoonlijke gebruik. Het maken van een paar kopieën voor eigen gebruik is bijvoorbeeld algemeen geaccepteerd. Het kopiëren van het clubblad van de voetbalvereniging in grote oplagen overstijgt de grens van toelaatbaarheid. Privégebruik van de digitale bedrijfsmiddelen is toegestaan als dit met mate en dus niet overmatig gebeurt en als het de dagelijkse werkzaamheden niet verstoort.

 

Artikel 5 Gebruik van digitale bedrijfsmiddelen

Digitale bedrijfsmiddelen brengen specifieke (beveiligings)risico´s met zich mee. Om deze risico´s te beperken, neemt de provincie Drenthe voortdurend maatregelen zoals virusdetectie, firewalls, het blokkeren of niet toestaan van bepaalde diensten en internetsites. De medewerker houdt zich aan deze maatregelen en omzeilt deze niet.

 

Artikel 6 Verkeers- en loggegevens

Het gebruik van digitale bedrijfsmiddelen wordt gemonitord door het vastleggen van verkeersgegevens. Dit betekent dat handelingen van de gebruiker met het desbetreffende bedrijfsmiddel worden gemonitord. Een aantal voorbeelden hiervan zijn:

 

Gebruik mobiele communicatie en mobiel dataverkeer

Het gebruik van smartphone en mobiel dataverkeer wordt gemonitord.

 

Gebruik van e-mail

Delen van verkeersgegevens, de inhoud van e-mailberichten en de bijlagen worden gemonitord en bevatten mogelijk vertrouwelijke informatie.

 

Gebruik van internet

Bezoek aan sites wordt geautomatiseerd gemonitord. Bezochte sites zijn niet herleidbaar tot individuele medewerkers.

 

De logbestanden zijn uitsluitend te benaderen door geautoriseerde beheerders die vanuit hun functie toegang dienen te hebben tot de logbestanden. De log wordt op geautomatiseerde wijze bijgehouden, dit betekent zonder menselijke tussenkomst.

 

Artikel 7 Observatie van bedrijfsmiddelen

In dit reglement wordt een onderscheid gemaakt tussen observatie en controle. Bij observatie gaat het met name om doorlopend monitoren van verkeersgegevens zonder inhoudelijk kennis te nemen van de berichten of bestanden.

 

Artikel 8 Controle van bedrijfsmiddelen na vermoeden misstand

Bij controle gaat het om gedragingen van de werkgever die een inbreuk maken op de privacy van de medewerker. Doordat de privacy van de medewerker in het geding komt, zijn er voorwaarden verbonden aan de controle die aansluiten bij de vuistregel van de Autoriteit Persoonsgegevens en de bestaande jurisprudentie.

 

De Wbp schrijft voor dat persoonsgegevens slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verkregen. De in het kader van dit reglement verzamelde persoonsgegevens mogen alleen worden verwerkt voor één of meer van de in dit artikel genoemde doelen.

 

De Wbp schrijft voorts een proportionaliteit- en een subsidiariteitstoets voor. Hierin wordt benadrukt dat een eerste stap kan worden genomen door de leidinggevende, die de directie informeert dát er mogelijk sprake is van gebruik van de digitale bedrijfsmiddelen in strijd met de doelen van dit reglement. Verder wordt benadrukt dat het controleren van het gebruik van digitale bedrijfsmiddelen pas aan de orde komt wanneer andere maatregelen onvoldoende effectief zijn om de doelen als bedoeld in artikel 8 te bereiken (subsidiariteitsvereiste). Ook dient de wijze van controle passend zijn voor het te bereiken doel en moet dit doel niet op andere wijze kunnen worden gerealiseerd (vereiste van proportionaliteit). Van belang is dat steeds aan deze vereisten wordt getoetst alvorens wordt besloten het gebruik van een bedrijfsmiddel op een bepaalde manier te controleren.

 

Indien de directie vermoedt dat er sprake is van ongeoorloofd gebruik van een bedrijfsmiddel, heeft zij de mogelijkheid om de anonimiteit op te heffen. Let wel, dit houdt alleen in dat ten aanzien van een bepaalde individuele medewerker de loggegevens en verkeersgegevens worden gebruikt.

 

Een aanleiding om over te gaan tot een controle kan bijvoorbeeld zijn dat uit observatie een sterk afwijkend gebruik van een bepaald digitaal bedrijfsmiddel blijkt. De beheerder stelt dan in opdracht van de directie of de leidinggevende, gemachtigd door de directie, een controle in die herleidbaar is naar een individuele medewerker. Dan mogen, aldus lid 1 van dit artikel, de loggegevens en verkeersgegevens per individuele medewerker worden verzameld.

 

Bij een vermoeden van ongeoorloofd gebruik van digitale bedrijfsmiddelen hoeft het niet te gaan om een integriteitsschending waarbij de procedure en bescherming bij melding van vermoedens van een misstand in werking treedt (de Klokkenluidersregeling). Indien bijvoorbeeld uit de controle blijkt dat sprake is van bovenmatig privégebruik van bedrijfsmiddelen of een andere overtreding van regelgeving, kan de directie en/of leidinggevende de desbetreffende medewerker hierop aanspreken. Het is mogelijk dat de zaak hiermee is afgedaan. In gevallen waarin de controle een concreet vermoeden bevat van een integriteitsschending kan dit aanleiding geven melding te maken van vermoedens van een misstand. Dit kan aanleiding zijn om een bijzonder onderzoek op te starten.

 

Artikel 9 Bewaartermijn

Dit artikel ziet erop dat de persoonsgegevens die worden verwerkt niet langer dan noodzakelijk worden bewaard.

 

Artikel 10 Medewerkers met een bijzondere status

Controle van het gebruik van de digitale bedrijfsmiddelen door de in dit artikel genoemde organen en personen wordt met extra zorgvuldigheid uitgevoerd. Dit betekent niet dat de medewerkers die zitting hebben in de Ondernemingsraad niet kunnen worden gecontroleerd in het kader van dit reglement.

 

Artikel 12 Slotbepalingen

De medewerker die in aanmerking komt voor een bedrijfsmiddel als bedoeld in dit reglement dient te tekenen voor ontvangst. De bruikleenovereenkomsten voor medewerkers en opdrachtnemers omvatten nadere voorschriften ten behoeve van de beschikbaarstelling van bedrijfsmiddelen.