I&I-> Jaargangen -> Artikel

Werken
in een
media space

Door Bernard Hulsman & Pieter Ippel1

Het gebruik van moderne informatiesystemen in de arbeidsorganisatie kan de privacy van werknemers bedreigen. De Wet persoonsregistraties en daarin doorwerkende normen van arbeidsrecht vereisen dat rechtmatige belangen van werknemers worden beschermd bij implementatie van dergelijke systemen. Privacywaarborgen dienen al bij de ontwikkeling van informatiesystemen te worden ingebouwd. Hoe dit werkt wordt uiteengezet aan de hand van een aansprekend voorbeeld. Vier beginselen van privacybescherming geven een handvat voor het vinden van oplossingen.

What is whispered in the closet shall be pro-claimed from the house-tops. (Warren & Brandeis, 1890) De inrichting van ruimteschepen in science- fictionfilms weerspiegelt vaak de opvatting van de maker over de modernst mogelijke kantoorinrichting in zijn tijd. Omgekeerd vertonen voorstellingen over het kantoor van de toekomst grote overeenkomsten met een geavanceerd commandocentrum van een ruimteschip. De werknemer zal plaats nemen aan een dashboard, bestaande uit een touch-screen met ingebouwde scanner, microfoon en camera. Daarmee kan een veelheid van informatie- en communicatiesystemen worden bediend voor een grenzeloze tocht door 'media space'. De technologie voor een dergelijke werkomgeving is al voorhanden.2 Fabrikanten en onderzoekers bereiden de toepassingen voor.
De Delftse arbeids- en organisatiepsycholoog Andriessen wees eerder in dit blad al op het vrijheidsverhogende potentieel van deze nieuwe technologie.3 Daarvoor moet wel het belangrijkste gevaar worden bezworen: het gebruik daarvan voor ongebreidelde gedragscontrole binnen de arbeidsorganisatie. In de door hem geformuleerde voorwaarden besteedt Andriessen opmerkelijk genoeg geen aandacht aan de informationele privacy, terwijl het naar onze mening gaat om een kernbegrip in het streven naar een 'technologie van de vrijheid'. Privacywetgeving en daarin doorwerkende arbeidsrechtelijke normering beperken de mogelijkheden tot controle nu al, door grenzen te stellen aan observatie en het gebruik van verkregen informatie voor controle en daarmee voor te vergaande beheersing van menselijk gedrag.
Bij privacy gaat het tevens om beginselen als zorgvuldigheid, fair play en gelijke behandeling in verband met het verwerken van informatie over personen. Zo opgevat is eerbied voor de persoonlijke levenssfeer het verdisconteren van gerechtvaardigde belangen bij introductie van nieuwe technologie waarmee mensen worden geobserveerd en geregistreerd. Het respecteren van dit belang zou wel eens een doorslaggevende rol kunnen spelen bij de acceptatie van nieuwe technologie. Het kan dus voor aanbieders van technologie ook in commercieel opzicht voordelig zijn van te voren de privacydimensie expliciet te overwegen.
In dit artikel gaan we nader in op het door Andriessen als hét voorbeeld aangehaalde project van het Xerox Palo Alto Research Laboratorium, waar ook privacy-aspecten beslissend konden zijn bij het ontwikkelen van een multimediale werkomgeving. Aan de hand van dit voorbeeld zal nader worden verhelderd wat de belangrijkste beginselen zijn die aan privacybescherming ten grondslag liggen, als oriënterend kader voor het nemen van beslissingen over de implementatie van nieuwe communicatie- en informatiesystemen.
Aan het eind van dit artikel stellen we kort de vraag aan de orde of privacybescherming het globale inzicht in organisatorische processen verhindert. Naar onze mening zijn er wel degelijk mogelijkheden om personeelsinformatie op een geaggregeerd niveau te gebruiken, mits daarbij een aantal waarborgen in acht worden genomen.

Een voorbeeld: het RAVE-systeem

Onderzoekers verbonden aan het onderzoekslaboratorium van Rank Xerox EuroPARC in Cambridge (Verenigd Koninkrijk) namen zichzelf als studieobject bij het ontwikkelen van een multimediawerkomgeving. Ter verbetering van de onderlinge samenwerking moesten videocamera's, microfoons en een computergestuurd netwerk de meer informele communicatie ondersteunen. Het hiervoor ontwikkelde RAVE-systeem (Ravenscroft Audio Video Environment) maakt het mogelijk om op vijf verschillende manieren 'in te breken' in ruimtes waar collega's aanwezig zijn (zie kader 1).
Het interessante van dit experiment is dat het niveau van de aan te bieden privacybescherming niet bij voorbaat vaststond, maar een onderzoeksvraag op zichzelf vormde. Al bij het ontwikkelen van het RAVE-systeem konden zo een aantal privacy-aspecten worden meegenomen en een aantal belangrijke waarborgen worden ingebouwd. De gebruikers van het RAVE-systeem formuleerden als belangrijkste wensen: (1) om zelf te kunnen bepalen wie hen kan zien of horen in een bepaalde periode, (2) om te weten wanneer iemand hen daadwerkelijk ziet of hoort en (3) om de intentie van degene die verbinding zoekt te kennen. Door het systeem uit te rusten met een aantal controle- en kennisgevingsfaciliteiten konden deze wensen worden gehonoreerd. De onderzoekers zochten naar een vorm die de werkzaamheden zo min mogelijk zou verstoren.
Gebruikers van het RAVE-systeem kregen de mogelijkheid om zelf vooraf de kring van gerechtigden voor elke soort verbinding te bepalen. Niet iedere collega was dus steeds bevoegd om iedere soort verbinding met een bepaalde werkruimte te gebruiken. Daarnaast kondigden geluidssignalen steeds een daadwerkelijke aanvraag tot contact aan: bij een 'glance' was het geluid te horen van een opengaande deur. Bij beëindiging dat van een dichtgaande deur. Het geluid van een klop op de deur kondigde een aanvraag voor een videophoneverbinding aan. Aan de soort van de aangevraagde verbinding viel de intentie daarvan al op te maken: 'Ben je er al?', 'Kan ik je storen?' of 'Ik wil je (even) spreken'. De geadresseerde hoefde niet iedere aanvraag te honoreren maar kon deze weigeren ('niet storen'). De onderzoekers trekken als conclusie van het experiment: 'Big Brother would have a difficult time at EuroPARC, both because we can restrict his access and because we can hear him coming.'4

Controle door de werkgever

In het bovengenoemde experiment speelde het belang van de werkgever bij observatie en registratie nauwelijks een rol. Niet iedereen werkt echter in een relatief vrije en creatieve werkomgeving van een onderzoeksinstituut. De verhouding tussen werkgevers en werknemers heeft meestal een zakelijk karakter. Bedrijven en instellingen nemen hun medewerkers niet aan vanwege hun mooie blauwe ogen, maar omdat zij een bepaalde prestatie moeten leveren. Hoe mooi er tegenwoordig ook over 'human resources management' wordt gesproken, deze sympathieke retoriek moet niet verhullen dat de relatie werkgever-werknemers steeds een verticaal, hiërarchisch element kent.
Bij het inrichten van een multimediale werkomgeving moeten we het dus ook hebben over macht en zeggenschap. Werkgevers laten zich niet zomaar de toegang tot de werkplek ontzeggen of kondigen hun komst en de intentie daarvan niet steeds van te voren aan. In de afgelopen vijftien jaar is het belang van privacy op de werkplek 'ontdekt'. Op het eerste gezicht lijkt dit paradoxaal: de werksituatie lijkt bij uitstek openbaar domein, waar de baas toezicht moet kunnen uitoefenen. Voor eerbiediging van de persoonlijke levenssfeer van werknemers zou dan ook geen ruimte zijn. Toch wordt, bijvoorbeeld in bedrijfskundige literatuur, de waarde van een zekere mate van autonomie voor werknemers onderstreept: zij moeten een bepaalde vrijheid hebben bij het uitvoeren van de hen opgedragen taken, op straffe van verlies van arbeidsproduktiviteit. Waarmee maar gezegd is dat respect voor het individu en diens persoonlijke levenssfeer niet alleen dienstbaar is aan persoonlijke belangen maar ook aan het bedrijfsbelang.
Van oudsher houden werkgevers toezicht op het gedrag en de prestaties van hun personeel. Privacyvraagstukken in arbeidsverhoudingen zijn in die zin niet nieuw.5 Wel nieuw is het technologische instrumentarium voor waarneming, registratie en analyse van persoonlijk gedrag. Moderne communicatie- en informatiesystemen brengen tot dusver ongekende mogelijkheden binnen het bereik van de werkgever om werknemersgedrag te controleren, te meten en te beoordelen. Het observeren van werknemers blijft niet meer beperkt tot het nemen van steekproeven. Zonder onderbreking kan nu een veelheid van activiteiten gedetailleerd worden waargenomen. De resultaten daarvan kunnen eenvoudig bewaard blijven. Door deze gegevens in verband te brengen met allerlei andere, reeds aanwezige informatie over een werknemer, ontstaat een geweldig analyse-instrument dat kan worden ingezet bij het nemen van soms ingrijpende beslissingen. Steeds meer informatie zal bruikbaar blijken te zijn voor analyse van arbeidsprestaties en daarmee voor beïnvloeding van werknemersgedrag.
Iedereen zal het over eens zijn dat werkgevers en leidinggevenden bij hun machtsuitoefening bepaalde grenzen in acht moeten nemen. Het gaat erom een nieuwe belans te vinden. De Wet persoonsregistraties en daarin doorwerkende normen van goed werkgeverschap en goed ondernemerschap bieden voor deze problematiek een bruikbaar toetsingskader.6

Vier beginselen van privacybescherming

Bij het zoeken naar evenwicht ter bescherming van de persoonlijke levenssfeer in arbeidssituaties dienen vier beginselen in acht te worden genomen.

Terughoudendheid bij observatie en registratie van feiten of gedragingen met een privé-karakter

In bepaalde ruimtes op het werk mogen geen camera's of microfoons worden geplaatst. Werknemers moeten zich kunnen onttrekken aan inmenging door de werkgever in hun woning, in hun vrije tijd en bij het vervullen van andere rollen in de arbeidsorganisatie (als vakbonds- of OR-lid, als klant, als gebruiker van niet-functiegebonden faciliteiten). De werkgever hoeft niet direct van alle feiten over het persoonlijke leven of dat van het gezin op de hoogte te zijn (zwangerschap, huwelijksproblemen, familieomstandigheden). Bepaalde gedragingen, persoonlijke gedachten of emotionele uitingen moet men aan het alziende en 'alwetende' oog van de camera of de computer kunnen onttrekken. Er moet een zekere ruimte zijn voor informele communicatie en correspondentie (even een praatje maken, de huisarts bellen voor een afspraak).
Dit kan eenvoudig worden gerealiseerd door waar mogelijk een kans te bieden aan de medewerkers om zich aan observaties of registraties te onttrekken (opting-outmogelijkheden). Ook Andriessen bepleit dat men bij toenemende interactiemogelijkheden moet leren elkaar niet onnodig lastig te vallen. In de experimentele werkomgeving van het Xerox RAVE-systeem werd expliciet de mogelijkheid geboden te kiezen om bepaalde verbindingen toe te staan dan wel te weigeren.
Wanneer dat niet mogelijk is dient er een duidelijke noodzaak te bestaan tot observatie of registratie, waarbij voor de minst belastende methode moet worden gekozen. Het aanbrengen van waarborgen tegen misbruik of oneigenlijk gebruik kan een gekozen methode minder indringend maken. Aangewezen waarborgen bij registratiesystemen zijn bijvoorbeeld beveiliging, het beperken van toegangsrechten of verstrekkingen aan derden en daarmee het beperken van bepaalde gebruiksmogelijkheden, procedures die zien op de juistheid en volledigheid van het vastgelegde en dergelijke. Andriessen zegt met zoveel woorden dat het in de toekomst wel eens belangrijker zou kunnen worden om informatie te vernietigen en contacten te mijden, dan om informatie te verspreiden en interactiekanalen aan te leggen.

Transparantie

Andriessen is van mening dat medewerkers allereerst moeten weten hoe de apparaten en de software werkt, om te kunnen leren zich te beschermen tegen de nadelen van de moderne technologie. Juist om die reden eist de privacywetgeving dat de werking, de inrichting en het gebruik van informatiesystemen met persoonsgegevens voor de betrokkenen doorzichtig zijn (zie kader 2).
Duidelijk moet zijn welke feiten en gedragingen worden waargenomen en geregistreerd. Dit behoort niet achter de rug van de betrokkenen om te gebeuren. Van observatie en registratiepraktijken dient de betrokkene op de hoogte te zijn. Ook moet iedereen zich makkelijk op de hoogte kunnen stellen van het gebruik van de verkregen informatie. Met name moet duidelijk zijn welke gegevens van belang kunnen zijn bij de individuele beoordeling van medewerkers. Overleg en informatie vooraf is dus geboden.
De werking en het gebruik van een persoonsregistratie moet worden vastgelegd in een aanmeldingsformulier (bij de overheid in een reglement).
Voor eenvoudige doorsnee-registraties kan een wettelijk standaardregime ('genormeerde vrijstelling') van toepassing worden verklaard. De toepasselijke regeling hoort om redenen van transparantie voor iedereen kenbaar te zijn.

Doelbinding

Voordat tot observatie of registratie wordt overgegaan moet het doel daarvan worden vastgelegd. Andriessen betoogt terecht dat zichtbaarheid, volgbaarheid en bereikbaarheid niet bedreigend hoeven te zijn wanneer deze uitsluitend ten dienste staat van verbetering van de interne communicatie en niet aan gedragscontrole. Maar het is ook terecht dat werknemers in dat geval verlangen dat deze doelbinding op papier komt en daadwerkelijk in acht wordt genomen (zie kader 2).
Als zuiverheid van oogmerk in het algemeen een beginsel is van behoorlijk ondernemerschap of goed werkgeverschap, valt niet in te zien dat dat niet zou hoeven te gelden voor de inrichting van de informatievoorziening. Het zuiver formuleren van de doelstellingen van een informatiesysteem is dan ook van het grootste belang. Ongewenste neveneffecten zoals in het volgende voorbeeld voor de klant (zie kader 3) kunnen zo al worden tegengegaan.
Het werken met onvoldoende gespecificeerde doelstellingen zet allerlei wettelijke waarborgen op de tocht. Zo mogen niet meer gegevens worden vastgelegd dan het doel rechtvaardigt. De informatie mag niet worden gebruikt voor andere doeleinden. Het gebruik van de gegevens is voorbehouden aan de personen binnen de organisatie die objectief een taak hebben bij het bereiken van het gestelde doel. Als de geregistreerde geen toestemming heeft gegeven en evenmin een wettelijk voorschrift daartoe verplicht, kunnen derden buiten de organisatie alleen gegevens ontvangen als dat voortvloeit uit het doel. Wanneer de gegevens niet meer relevant zijn voor het daaraan gestelde doel dan dienen ze te worden verwijderd.

Rechten van geregistreerden

Organisaties moeten de betrokkenen ervan in kennis stellen wanneer gegevens over hen worden verzameld en vastgelegd. Men moet kunnen weten om welke gegevens het gaat en wat het doel is van de betreffende registratie.
Werknemers hebben het recht om de over hen opgenomen gegevens in te zien en indien nodig te laten corrigeren, te verwijderen of aan te vullen. Tevens kan men inlichtingen verlangen over de herkomst en over eventuele verstrekkingen buiten de organisatie.
Werknemers hebben zowel individuele als collectieve mogelijkheden om te waarborgen dat de hierboven genoemde principes ook in de praktijk worden nageleefd. Een uitbreiding van het adviesrecht van de ondernemingsraad tot automatisering of procesinnovatie is in de maak.
Uit werkgeverskring komt in toenemende mate het signaal dat men de buik vol heeft van wat men wel en niet mag registreren. Deze klacht moet wel met enige korrels zout worden genomen. De experimenten met het RAVE-systeem tonen aan dat het heel goed mogelijk is om aan diverse belangen tegemoet te komen en al tijdens de systeemontwikkeling waarborgen in te bouwen. Het is zeker niet zo dat de privacyregels tot een explosie van regelzucht leiden. Maar het ervaringsfeit dat informatiesystemen de neiging hebben een steeds groter domein te gaan bestrijken, maakt tegenspel en kritische bezinning nodig. Juist daar zijn de achter de specifieke regels schuilgaande zorgvuldigheids- en privacybeginselen onmisbaar.

Geblokkeerd inzicht in organisaties?

Teulings (1994) en enkele andere auteurs hebben in verschillende publikaties gewezen op het belang van het gebruik van personeelsinformatiesystemen voor het verkrijgen van meer inzicht in organisatorische processen en het opsporen van knelpunten in bedrijven en instellingen. Daarbij lijken zij te suggereren dat de aandacht voor privacybescherming overdreven vormen heeft aangenomen en de aandacht afleidt van de kwesties 'waarom het werkelijk gaat'.
Het is zeker niet aan te bevelen de privacyproblemen op te kloppen, zodat een onwerkelijk fantoom ontstaat. Dat neemt niet weg dat alertheid geboden is, zowel met het oog op het respecteren van autonomie van de betrokken personen als gelet op de waarde van goede onderlinge verhoudingen en een gezonde bedrijfscultuur.
Ook lijkt het ons een misvatting dat privacywaarborgen het lokaliseren van problemen in organisaties zou verhinderen. Het opstellen van sociale kengetallen moet mogelijk zijn. Dergelijke vormen van sociaal-wetenschappelijk beleidsonderzoek kunnen zeker belangrijke kennis produceren en kan er toe leiden dat beter gefundeerde beslissingen worden genomen. In een aantal gevallen zal het bij geaggregeerde gegevens op globale schaal niet om persoonsgegevens gaan. Maar wanneer het wel om gegevens gaat die tot individuen of kleine werkeenheden zijn te herleiden, zullen de onderzoekers, beleidsadviseurs en het opdrachtgevende management in ieder geval op een open manier inlichtingen moeten verschaffen aan betrokkenen over de opzet en bedoeling van het beleidsonderzoek. Ondernemingsraden zullen bij dit gebruik van personeelsinformatiesystemen moeten worden betrokken. Ook hier geldt dat informatie niet 'achter de rug' van de werknemers om moet worden verzameld.
De gevonden stuur- en kengetallen zijn een hulpmiddel bij het voorbereiden van zo verantwoord mogelijke beslissingen, maar dergelijke kwantitatieve data vragen altijd om interpretatie en reflectie. Het lijkt ons dat degenen die door de beslissingen worden geraakt bij de voorbereiding daarvan en bij de interpretatie van de onderzoeksresultaten, hun invloed moeten kunnen uitoefenen. Ken- en stuurgetallen kunnen indicaties geven voor wenselijke veranderingen in organisaties, maar wanneer ze te zeer een eigen leven gaan leiden kunnen ze - misschien onbedoeld - aanleiding geven tot een onwenselijke vorm van sociale technologie.

Conclusies

In dit artikel laten we zien dat het niet gaat om juridische fijnslijperij bij het aandacht vragen voor de privacydimensie van nieuwe toepassingen van informatietechnologie. De hier centraal staande principes hebben als doel bij te dragen aan het zorgvuldig omgaan met medewerkers en - daarmee - aan de kwaliteit van het werk. Openheid, verstandige keuzes vooraf en correctiemogelijkheden daarna zijn nodig om te voorkomen dat het aan arbeidsverhoudingen inherente controle-aspect te zeer de overhand krijgt.

Andriessen, J.H.E., 'abc van telematica toepassingen'. Informatie & Informatiebeleid, 1993, nr. 3, pp. 56-63.
Frankel, M., 'Big Brother is watching'. Newsweek, 22 augustus 1994, pp. 30-31.
Gaver, W. (ed), 'Realizing a video environment: EuroPARC's RAVE System.' Proceedings acm Conference on Human Factors in Computing Systems, chi '92, Monterey (Cal), usa, mei 1992, pp. 27-35.
Hulsman, B.J.P. en P.C. Ippel, Personeels-informatiesystemen. De Wet persoonsregistraties toegepast. Den Haag, Registratiekamer, juli 1994. Achtergrondstudies en verkenningen nr 1. Te bestellen bij: sdu/dop, tel. 070-3789830, bestelnr. dpareg 1341, f 25,- (incl. verzendkosten).
Stichting van de Arbeid, Kunt u mij volgen? Privacy op de werkplek, een leidraad voor ondernemingen. Den Haag, Stichting van de Arbeid, 27 juli 1994. Publikatienr. 3/94.
Terstegge, J.H.J. en H.H. de Vries, Privacy in arbeidsverhoudingen. Den Haag, ministerie van Sociale Zaken en Werkgelegenheid, 1994.
Teulings, A.W.M., 'Bescherming versus openbaarheid. Ontwikkelingen in technologie en praktijk van personeelsinformatiesystemen.' Informatie & Informatiebeleid, 1994 no. 4.
Warren & Brandeis, The Right to Privacy, 1890