Mag de werkgever privébestanden op een bedrijfspc doorzoeken?

15 januari 2008, 9:17 - Geplaatst onder: Privacy, Beveiliging

Een lezer vroeg zich af:

Stel op een bedrijfspc staan bestanden die het privé-eigendom zijn van een medewerker. Nu wil de werkgever op die pc bepaalde werkgerelateerde documenten opvragen, maar hij weet niet precies waar die staan. Vanwege een arbeidsconflict wil de werknemer niet meewerken. Mag de werkgever nu de pc doorzoeken, of moet hij vanwege het risico van privacyschending toch de werknemer dit laten doen?

Ook op het werk heb je privacy. Een werkgever mag niet zomaar monitoren wat mensen doen op de bedrijfspc. Hij moet daar een reglement voor opstellen waarin staat wat er wanneer gemonitord wordt en voor welk doel. En zelfs met een reglement mag niet zomaar alles: er moet altijd een redelijke aanleiding zijn om te gaan monitoren. Een vermoeden van fraude of illegale activiteiten, maar ook disproportioneel veel dataverkeer kan zo’n aanleiding zijn.

Hier ligt het iets lastiger: de werkgever heeft een legitieme reden om op die pc te gaan zoeken, maar kan daarbij (bedoeld of onbedoeld) een blik werpen in privé-bestanden. Hij zou bijvoorbeeld een zoekopdracht kunnen geven voor alle documenten met een bepaalde tekst. Als die ook in een privé-document staat, krijgt hij vervolgens daar de inhoud van te zien. En bij bijvoorbeeld afbeeldingen laat Windows heel behulpzaam een thumbnail zien met de inhoud.

Als je het de werknemer niet kunt laten doen, dan wordt het lastig. Het beste zou zijn om dan een onafhankelijk iemand de doorzoeking te laten doen. Grote bedrijven hebben vaak een speciaal iemand, een vertrouwenspersoon of compliance officer wiens taak het is om toe te zien op de naleving van de ethische regels binnen een bedrijf. Bij een vermoeden van bedrijfsmatige fraude kun je dan als werknemer die persoon inschakelen. Deze zou dan ook in dit geval kunnen helpen.

Natuurlijk is het niet de bedoeling dat mensen privé-bestanden op een bedrijfspc zetten. Maar zolang die bestanden geen schade aanrichten, kan een werkgever daar weinig tegen doen. De grens is soms ook lastig te trekken. Ik doe een cursus voor mijn werk; is de uitwerking van een cursusopgave nu een werkgerelateerd document? En de routebeschrijving om bij die lokatie te komen? En de lijst met goeie restaurantjes in de buurt? En de e-mail naar een vriendin met een uitnodiging om dan samen te gaan eten omdat zij vlakbij de cursuslokatie woont?

Arnoud

of lees de 8 reacties

Tags: , ,

Gerelateerde posts

8 Reacties

  1. Arnoud, ik ben systeem- en netwerkbeheerder en beheer onder andere een mailserver. Ik heb mijn gebruikers gevraagd aan te geven of ik collega’s inzage mag geven in hun mail bij hun afwezigheid als dat noodzakelijk is voor het bedrijf. Mijn ontsnappingsclausule: het management kan een veto door de gebruiker ‘overrulen’. Kwestie van het mijzelf besparen van ethische dilemma’s.

    Nu geeft één gebruiker aan dat het MT dat ook niet mag: “Ik wil niet dat anderen ooit inzage krijgen in mijn mail, zelfs het management niet.”

    In mijn arbeidsovereenkomst staat dat ik directe opdrachten van het management op moet volgen, maar ik vind het briefgeheim (wat ik op e-mail van toepassing acht) zwaarder wegen.

    Stel nu dat het management mij de directe opdracht geeft inzage te geven in de mailbox van genoemde gebruiker en er is een kritiek belang voor het bedrijf. Ik weiger dat, want ik ben veel te principieel. Kan het bedrijf mij daarvoor ontslaan, of weegt het briefgeheim (gesteld dat dat hier inderdaad van toepassing is) zwaarder dan mijn arbeidsovereenkomst met als gevolg dat het toepasselijke gedeelte van die overeenkomst nietig is?

    Zuiver hypothetisch, gelukkig nog nooit gebeurd!

    Reactie door Vorkbaard — 15 januari 2008 @ 16:39

  2. Dit is een erg lastige vraag, VB. Als de afspraak is dat het management onder zekere voorwaarden toegang kan krijgen tot zakelijke mailboxen van medewerkers, dan kan een medewerker niet zomaar tegen jou zeggen dat die afspraak niet voor hem geldt. In zo’n geval zou je dit conflict moeten escaleren naar het management, en hen met de medewerker laten uitvechten wat de regeling gaat worden. Of het management staat hem een privé mailbox toe, of hij legt zich neer bij de mogelijkheid van inzage, of hij stapt op. Ik denk dat dat zo ongeveer de keuzes zijn. Maar jij moet je daar niet bij betrekken.

    Het alternatief namelijk is precies het dilemma wat jij schetst: dan moet jij ineens een op zich redelijke instructie van je werkgever uitvoeren tegen de uitdrukkelijke wil van een medewerker in. Dat is voor jou een onmogelijke positie.

    En ja, als er een redelijke grond is om inzage in de zakelijke mailbox te krijgen, dan kan het worden uitgelegd als werkweigering als jij het management die inzage niet geeft. Natuurlijk zit daar een belangenafweging bij, maar daarbij moet je ook het belang van de werkgever meenemen, en niet alleen maar dat van de werknemer.

    Het grondwettelijk briefgeheim bestaat niet voor e-mail. Zie Briefgeheim voor e-mail? Wel geldt er voor systeembeheerders de geheimhoudingsplicht uit art. 273d uit het wetboek van strafrecht, maar dat verbiedt alleen “wederrechtelijk” kennisnemen van gegevens van klanten. Een zakelijke mailbox openen in opdracht van management lijkt mij niet snel wederrechtelijk.

    Arnoud

    Reactie door Arnoud Engelfriet — 15 januari 2008 @ 18:34

  3. Beste Arnoud,
    Dat een baas niet zomaar in de email van zijn werknemer mag schumen (ook al is het de PC van de werkgever) is mij duidelijk. Maar wat als de werkgever een adviseur opdracht geeft om dat een doen ? Een (juridisch) adviseur bv met het verzoek te kijken of er belastende informatie op staat? Is de adviseur dan verantwoordelijk voor dat onderzoek en eventueel aansprakelijk voor een claim wegens privacyschending, of de werkgever ?? Of moet de adviseur de rem erop zetten en privacyschending zien te voorkomen ??
    Ik ben al een poos op zoek naar het antwoord maar heb hetnog niet gevonden. Het zou mooi zijn als jij het wist!
    P.V.

    Reactie door Pieter — 24 maart 2008 @ 12:55

  4. Beste Pieter,

    Als de adviseur onafhankelijk (dus geen werknemer) is, dan mag hij alleen de persoonsgegevens doorzoeken met een opdracht (art. 14 lid 2 WBP). De opdracht moet op schrift worden gegeven. Het is dan de taak van de verantwoordelijke om te zorgen dat de “bewerker” (de adviseur) zich aan de regels over zorgvuldige verwerking houdt.

    Het is de zorg van de verantwoordelijke (de opdrachtgever) dat alle verplichtingen uit de WBP worden nageleefd (art. 15 WBP). Als de verantwoordelijke dus een opdracht geeft om iets te doen dat niet mag met persoonsgegevens, dan is hij daarvoor aansprakelijk en niet de opdrachtnemer. De opdrachtnemer mag echter niet meer doen dan wat in de opdracht staat.

    Arnoud

    Reactie door Arnoud Engelfriet — 24 maart 2008 @ 13:33

  5. Mag een manager een dag nadat een werknemer met een korte vakantie in Nederland is vertrokken, de zakelijk mailbox van de werknemer doorzien. Dit i.v.m. een prijsvoorstel dat is gedaan aan een klant, wat de manager wil opzoeken/weten. Zonder enige vooraankondiging?

    Reactie door janny — 20 juni 2008 @ 19:01

  6. Een lastige, Janny. Het bedrijfsbelang is op zich groot in een geval als dat, maar het is wel een schending van de privacy van die medewerker. Ik zou dus als werkgever proberen eerst contact te zoeken met de medewerker. Misschien kan die b.v. via webmail inloggen en de mail even forwarden. Als dat niet lukt, lijkt het me gerechtvaardigd om in die mailbox te kijken, maar dan wel zo kort mogelijk. Dus inloggen en de zoekfunctie gebruiken om de gezochte mail te vinden. En natuurlijk niet de hele mailbox even doorkijken omdat je toch ingelogd bent.

    Reactie door Arnoud Engelfriet — 21 juni 2008 @ 10:12

  7. Hallo,
    Toevallig beland ik hier en heb een vraag. Sinds twee weken werk ik elders en vandaag ging mijn vakantie in. Een collega vroeg mij om mijn inloggegevens om mijn mail te checken mocht er iets voor onze afdeling instaan.
    Ik zei dat mijn mail prive is en dat mijn afwezigheidsass. aanstaat met info. waar mensen heen moeten mailen omdat ik er niet ben. Ze zei dat ze dat daar nu eenmaal zo doen en toen ik weigerde moest ik samen met haar naar een leidinggevende. Hij zei ook dat het een kwestie van vertrouwen is en dat ze heus niet alles gaan inzien…maar een mens is nieuwsgierig en niemand kan mij dat garanderen. Toch heb ik ingesteld dat ze inzage hebben maar het zit me niet lekker. Niet dat ik zoveel prive mail maar ik krijg weleens persoonlijke mail natuurlijk. Sta ik in mijn recht als ik voortaan weiger?

    Reactie door romy — 3 juli 2008 @ 22:29

  8. Ik denk niet dat je zomaar categorisch kunt weigeren. Er is tenslotte een bedrijfsbelang bij het in kunnen zien van je mailbox als daar bedrijfszaken in staan. Natuurlijk moet het bedrijf wel je privacy respecteren. Als je na je vakantie merkt dat mensen dingen weten die in prive mails stonden, kun je je werkgever daarop aanspreken.

    Persoonlijk zou ik altijd een apart adres gebruiken voor prive dingen, en niet mijn zakelijk adres.

    Reactie door Arnoud Engelfriet — 3 juli 2008 @ 22:51

RSS feed voor comments op dit bericht. TrackBack URI

Plaats een reactie

Let op: uw reactie wordt gepubliceerd. Voor privé-reacties gebruik het contactformulier.

XHTML: U kunt deze HTML-codes gebruiken: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Copyright Arnoud Engelfriet - Some rights reserved - Powered by WordPress