In deze rubriek, die twee keer per week verschijnt, bericht Marie-José Klaver over ontwikkelingen op Internet. Reacties en tips: klaver@nrc.nl

Het rapport van de Registratiekamer over de controle van e-mail en ander internetverkeer op de werkvloer heeft voor veel publiciteit gezorgd. Vrijwel alle media hebben aandacht besteed aan de richtlijnen die de Registratiekamer, de toezichthouder op de Nederlandse privacywetgeving, heeft opgesteld. Veel aandacht ging uit naar porno, seksuele intimidatie en luiwammesen die de hele dag in de baas zijn tijd aan het chatten en mailen zijn.

Wat niet aan bod is gekomen, is hoe werkgevers zelf hun privacy kunnen beschermen als ze op hun werk e-mailen of surfen. Ook de meer fundamentele vraag of onbeveiligde e-mail wel zo geschikt is voor werknemers die vertrouwelijke informatie uitwisselen is niet gesteld.

E-mail kan eenvoudig worden beveiligd door middel van encryptie (versleuteling). Niemand kan een deugdelijk versleutelde e-mail lezen. Ook de sporen die websurfers nalaten kunnen versleuteld worden.

De Registratiekamer gaat ervan uit dat niemand zijn e-mail versleutelt vanwege privacyredenen. In het rapport 'Goed werken in netwerken' raadt de Registratiekamer werkgevers onder het kopje 'Ontzie geprivilegieerde informatie in elektronische berichten' aan de e-mail van de leden van de Ondernemingsraad en die van bedrijfsartsen niet te controleren. De berichten van deze werknemers bevatten waarschijnlijk vertrouwelijke informatie. De Registratiekamer: "Evenals andere werknemers communiceren ook leden van de ondernemingsraad en bedrijfsartsen onderling met behulp van e-mail. Voor zover zij dat doen in hun hoedanigheid als OR-lid of arts is hun e-mail beschermd en mag de werkgever daar geen kennis van nemen. De werkgever zal in zijn beleid dus rekening moeten houden met dit verschijnsel."

Versleuteling wordt alleen genoemd in het kader van de opsporing van misbruik van netwerkvoorzieningen of ongewenst gedrag. Het wordt vooral als iets lastigs gezien omdat het de controle van werknemers bemoeilijkt: "Met behulp van content-filtering zal verboden gebruik waarbij gebruik wordt gemaakt van codetaal of versleuteling (encryptie) van berichten, niet kunnen worden opgespoord."

Over FTP (File Transfer Protocol), een methode om bestanden over internet te versturen, wordt gezegd: "Middels FTP kunnen op een snelle wijze gevaarlijke of verboden bestanden worden uitgewisseld. Als de bestanden middels encryptie zijn beveiligd, kan de inhoud van de bestanden niet gecontroleerd worden."

Over encryptie als privacybeschermende methode spreekt de Registratiekamer niet. Vergeten wordt dat e-mail een heel onveilig communicatiemiddel is. Bedrijfsartsen, leden van de OR en werknemers die op de hoogte zijn van bedrijfsgeheimen zouden geen onversleutelde e-mail moeten gebruiken. Niet alleen systeembeheerders kunnen bij de e- mail die naar en vanuit een mailserver van een bedrijf gestuurd wordt, ook medewerkers van internetproviders en telecombedrijven die voor de verbindingen zorgen, computerkrakers en bedrijfsspionnen kunnen dat.

Er kan nog meer mis gaan met e-mail. Stel, de bedrijfsarts stuurt een collega bij een ander bedrijf of een verpleegkundige binnen hetzelfde bedrijf een berichtje over meneer Jansen die zich ziek heeft gemeld omdat hij een conflict heeft met zijn baas. De ontvanger kan deze mail naar anderen sturen, omdat hij Jansen niet mag of omdat het zo'n mooie case study is of per ongeluk omdat hij op Forward klikt in zijn mailprogramma.

Ook een helpdeskmedewerker kan de mail over Jansen lezen als hij de pc van de ontvanger komt repareren. Hij kan de mail naar zichzelf sturen of naar andere mensen. Dat geadresseerden vaak vrijmoedig met persoonlijke en vertrouwelijke informatie in e-mails omgaan, leert het geval van Claire S. Deze Britse stuurde haar minnaar Bradley C., advocaat, een mailtje over een wilde nacht. De minnaar stuurde de mail door en binnen een paar uur hadden duizenden mensen, volgens de BBC zelfs miljoenen, gelezen hoe Claire Bradley oraal had bevredigd.

Werknemers die willen dat hun mail privé blijft, kunnen het beste gebruik maken van het gratis programma PGP (Pretty Good Privacy) of een webmaildienst die encryptie aanbiedt, zoals Hushmail. Bedrijven zouden zich moeten buigen over versleutelingsmethodes voor e-mail en webverkeer om de privacy van werknemers te beschermen en te voorkomen dat bedrijfsgeheimen uitlekken.

Goed werken in netwerken - Regels voor controle op e-mail en internetgebruik van werknemers: www.registratiekamer.nl/bis/top153518.html
PGP: www.pgpi.org
Hushmail: www.hushmail.com