Doorzoeken van een bedrijfspc mag niet zomaar

| AE 2101 | Ondernemingsvrijheid, Privacy | 21 reacties

Ik ken een paar werkgevers die nu gaan schuimbekken. Je geeft je werknemers een PC te leen, die gaan ze dan een beetje privé zitten gebruiken en dan mag je er niet eens meer in zoeken als blijkt dat die werknemers disfunctioneren. Maar dat is toch echt waar deze uitspraak van het College van Beroep voor het bedrijfsleven op neerkomt. Het ging hier om tuchtrecht voor accountants, maar tussen de regels door zie je duidelijk dat het College afkeurt dat er in privé gebruikte apparatuur wordt gezocht als daar geen héél goede reden voor is.

Een ambtenaar werkte als systeembeheerder bij een gemeente. Ze werd geschorst omdat ze zonder toestemming van B&W een personal computer met toebehoren, eigendom van de gemeente, bij haar thuis had geplaatst. Om redenen die me niet helemaal duidelijk zijn, werd vervolgens de fraudeafdeling van Deloitte losgelaten om die computer te doorzoeken.

De ambtenaar vocht de schorsing aan, en diende ook een klacht in tegen de onderzoeker. Die was accountant, en dus onderworpen aan hun tuchtrecht. Van een accountant mag in rapportage verwacht worden dat deze objectief, neutraal en volledig is. Maar daarvan was hier geen sprake:

Het onderzoek was immers juist gericht op het – totale – gebruik van de personal computer. Bij een feitelijke weergave van de aangetroffen computerprogramma’s is het niet aan betrokkene een keuze te maken in wat hij wel of niet opneemt in zijn rapportage. Bovendien heeft hij met de opsomming, zoals opgenomen in het rapport, de indruk gewekt een volledige weergave te hebben gegeven. Uit het rapport blijkt geenszins dat dit slechts een beperkte weergave behelst. … Betrokkene heeft er hiermee blijk van gegeven op selectieve wijze te rapporteren, hetgeen hem tuchtrechtelijk aan te rekenen is.

Belangrijker, hij had deze PC niet zomaar mogen doorzoeken, omdat de PC thuis stond en niet (via VPN of anderszins) aangesloten was op het bedrijfsnetwerk.

Betrokkene heeft de computer behandeld als een werk-computer, deel uitmakend van het computer-netwerk van de werkgever. Nu hiervan evenwel geen sprake was, had betrokkene meer terughoudendheid moeten betrachten bij het onderzoeken van het privé-gebruik van de computer.

En die regel geldt ook voor gewone werkgevers. Ook op het werk heb je recht op privacy, en dat betekent dat je als werkgever niet zomaar mag gaan snuffelen in de spullen die je werknemers ter beschikking stelt.

Arnoud

Deel dit artikel

  1. Wellicht heb ik iets gemist, maar dit geldt dus enkel voor machines die thuis zijn geplaatst, en niet zijn verbonden met het bedrijfsnetwerk. In dat geval is de kop van het artikel niet de vlag die de lading dekt. Hoe zit dat dan met machines die dat wel zijn, ongeacht of het thuis of op kantoor is?

  2. Ze werd geschorst omdat ze zonder toestemming van B&W een personal computer met toebehoren, eigendom van de gemeente, bij haar thuis had geplaatst.
    Dat is toch geen fraude? Dat is gewoon diefstal, want ze had geen toestemming om de PC mee te nemen. En als je een gestolen voorwerp terug krijgt, heb je toch het recht om deze na te kijken op beschadigingen en gebreken die door de diefstal zijn ontstaan? Maar goed, dan moet een bedrijf dus wel aangifte doen van diefstal en de betrokken werknemer dus aangeven bij de politie. Het zou een andere invalshoek zijn op de gehele kwestie. In deze zaak zijn ze dus vergeten om aangifte te doen van diefstal…

  3. Het is pas diefstal als je iets meeneemt met het oogmerk om het voor jezelf te houden. Joyriding is het klassieke voorbeeld: een ritje in andermans auto maken, maar die daarna wel weer terugzetten waar je hem gevonden hebt. Dat is geen diefstal.

    Een computer van het werk thuis neerzetten met de bedoeling die bij einde dienstverband terug te geven is dus ook geen diefstal. Die bedoeling is lastig te meten maar hij is wel doorslaggevend.

    Ik weet niet waarom de term fraude in beeld kwam, misschien dachten ze dat mevrouw meer spullen had meegenomen. Uit de uitspraak wordt dat niet duidelijk in ieder geval.

  4. Bij de beoordeling van deze grief is van belang dat de computer zich bevond in de priv?-omgeving van appellante. Gebleken is dat via de computer slechts toegang bestond tot internet via de eigen internetaansluiting van appellante. Voorts is vastgesteld dat met de computer geen verbinding kon worden gelegd met het geautomatiseerde systeem van de werkgever. Hiervan was betrokkene ook tijdens het onderzoek op de hoogte.

    Ik denk dat dit ook wel meespeelt. De meeste bedrijfspc’s kunnen vaak met een VPN aan het bedrijfsnetwerk geknoopt worden. Nou krijg je natuurlijk de vraag hoe het zit met zoiets als outlook web access of andere web gebaseerde oplossingen (citrix via het web) Dan is in potentie elke pc aan het bedrijfsnetwerk te knopen dus nooit 100% prive.

    Ik denk overigens dat de conclusie een prive gebruikte pc is niet meer te doorzoeken wat ver gaat. Je zult alleen zeer zorgvuldig alles moeten (laten) wegen.

  5. Het is uit het verhaal ook niet duidelijk waarom die PC was meegenomen naar huis. Deed ze dit om deze te repareren of voor andere doeleinden en was ze van plan om de PC uiteindelijk weer terug te brengen? Of wilde ze deze stelen en kreeg ze misschien wroeging waarna ze deze PC weer terugbracht? Het verhaal is hier onduidelijk over. Maar de vraag is natuurlijk of haar werkgever van tevoren wist dat ze de PC weer terug zou brengen. Zoniet, dan zou een aangifte van diefstal volgens mij toch meer rechten aan de werkgever geven, ook al brengt de werknemer deze snel weer terug. Tja, en joyriden dan? Je jat een auto, rijdt erin rond, zet hem weer terug: geen diefstal. Of, je jat een auto, je rijdt rond, de politie houdt je aan en de eigenaar ontdekt de vermissing en doet aangifte. Nog steeds geen diefstal? Tja, de bewijslast dat je hem terug zou brengen ligt dan bij de “dief”, toch?

  6. Een pc bij je thuis plaatsen gaat misschien nog wat ver, maar wat te denken van een laptop die je ter beschikking gesteld krijgt? Ik heb best wat priv?gebruik gemaakt van de laptop die mijn werkgever mij uitgeleend heeft. Dan komt het ineens veel dichterbij, want een laptop of smartphone is iets wat veel vaker met de werknemer mee naar huis gaat en hij ook gemakkelijk priv? kan gebruiken, vaak zelfs met toestemming van de werkgever.

    Aan de andere kant, waarom moet priv? internetten en computergebruik op je werk zo strikt geregeld zijn? Je wordt toch betaald om te werken, niet om in de baas z’n tijd eens lekker je eigen mail te gaan zitten lezen? Tuurlijk, iedereen met een internetaansluiting op zijn werkplek doet het, maar die moeten zich wel realiseren dat hun werkplek iets anders is dan hun huiskamer, dus de privacygevoelige dingen misschien maar even moeten laten wachten…

  7. Het irritante bij mijn werk is dat prive-mail en werk redelijk door elkaar lopen. Voor mijn werk gebruik ik mijn werk-account en dit is puur zakelijk gebruik. Maar op mijn werk lees ik ook mijn prive-mail omdat deze vaak enigszins aan mijn werk gerelateerd zijn. Ook het prive-internetten dat ik doe is vaak gerelateerd aan onderwerpen die mijn werk (als software engineer) raken. Allerlei practische sites waar leerzame informatie wordt uitgewisseld en andere sites die te maken hebben met de financiele wereld. (En ik maak software voor financiele adviseurs.) Deze sites volgen behoort niet tot mijn functie-omschrijving maar er wordt wel van mij verwacht dat ik mijn kennis op peil hou. Het meest vervelende is eigenlijk dat ik in prive-tijd soms nog intensief met mijn werk bezig ben. Als ik op mijn werk 8 uur bezig ben geweest met het oplossen van een software-probleem en dan wil ik er thuis nog wel enkele uren over na blijven denken. Dat is het vervelende van mijn beroep; het is niet geschikt voor een 9-5 mentaliteit met vaste werktijden. en ik ben niet de enige met een dergelijk beroep.

  8. Het onderwerp mail is volgens mij wel eens eerder langs gekomen op dit blog. Ik kan mij herinneren dat zelfs wanneer de baas per ongeluk en onbedoeld een prive mail leest, op het werk, op een werk computer, waar toevallig hotmail aanstond. Hij hier geen actie op mag ondernemen. (ik meen me te herinneren dat het in dat voorval ging over een medewerker die klanten wilde mee nemen naar een ander bedrijf o.i.d. )

    Verder denk ik niet dat je een harde vuistregel kan maken over prive/zakelijk gebruik van computer, zelfs als deze op de zaak staat. Mits niet expliciet verboden kun je het een medewerker niet kwalijk nemen om een PC ook voor prive doeleinden te gebruiken. Inloggen op hotmail, of facebook, twitter, even kijken op nu.nl.

    Een bedrijf maakt in mijn opinie gewoon inbreuk op privacy wanneer ze dit gebruik gaan napluizen zonder overleg met de betreffende medewerker. Of dit nu inhoud of ze kijken welke software ge?nstalleerd is of dat ze de browser historie bekijken.

    Wel zou ik zeggen dat het ‘fair game’ is wanneer een bedrijf hier vooraf duidelijke regels over opstelt, zoals b.v. het centraal loggen en filteren van browser gedrag, met als regel dat het web enkel gebruikt mag worden voor bedrijfs doeleinden. Maar ja, dan heb je natuurlijk ook op voorhand duidelijk gemaakt aan een medewerker. Precies hetzelfde overigens voor desktop software, via rechten en remote beheer bijhouden en managen wat er ge?nstalleerd is.

    Verder denk ik ook dat er qua normen wel grote verschillen zitten. Zelf zit ik in de internet branche en het is dood normaal en geaccepteerd dat wanneer je een laptop van de zaak krijgt dat je daar je iphone op synct, of b.v. zelfs een computer spel installeert om in de pauze te spelen. Wel wordt er dan uiteraard van uit gegaan dat je er zelf zorg voor draagt dat hij in werkende staat is en je er je werk mee kan doen.

    Maar ik kan me zo voorstellen dat in een wat conservatievere werk omgeving, zeg een overheids gebouw, met gedeelde werkplekken en administratieve functie, bovenstaand gedrag dan weer niet de norm kan zijn. Maar dat kan uiteraard ook aan mijn perceptie liggen.

  9. Tja, zonder toestemming van de werkgever is het eigenlijk het woord van de werknemer tegen de werkgever. En als de werkgever ook meteen aangifte doet… Natuurlijk zal een werkgever ook even intern kunnen melden dat een PC is verdwenen en dat deze per direct terug moet. Als de werknemer dan meteen zegt dat hij deze naar huis heeft meegenomen om [vul hier smoesje in], dan zou de werknemer meteen naar huis gestuurd kunnen worden om de PC weer op te halen en terug te brengen, waarna hij ook even een standje krijgt wegens zijn “wangedrag”. Als de werknemer niet meteen meldt dat hij deze heeft meegenomen dan komt er dus aangifte, een onderzoek en als dan wordt ontdekt dat hij de PC thuis heeft gestaan, dan denk ik dat de aanklacht van “Diefstal” wel stand kan houden.

  10. Tja, zonder toestemming van de werkgever is het eigenlijk het woord van de werknemer tegen de werkgever.

    Ik weet niet hoe dat bij jullie werkt maar bij ons krijg je als je een PC of laptop meekrijgt ook een formulier dat je moet tekenen. Een soort gebruikersovereenkomst. Dat soort zaken worden gewoon vastgelegd. Voorheen was dat ook zo voor de mobiele telefoon maar inmiddels krijgt iedereeen die en staat die in een algemeen arbeidsregelement. Ik vind het dus niet gebruikelijk dat er sprake is van het woord van de werkgever tegenover de werknemer.

  11. @hAl, maar dan krijg je een PC mee met toestemming van je werkgever. In deze kwestie had de werknemer geen toestemming gekregen maar toch de PC meegenomen. Dat de werknemer deze later weer terug wilde geven staat er niet bij, is niet duidelijk en de werkgever hoeft dat ook niet aan te nemen als een PC zonder toestemming wordt meegenomen…

  12. Beste Arnoud,

    Ik werk in een klein ICT bedrijf. Nu is het zo dat een van de engineer (welke oa de mailsevers beheert) opdracht heeft gekregen vanuit 1 van de 4 leden van het management om deze persoon toegang te geven tot de mailboxen van alle werknemers. Dit heeft als gevolg dat deze persoon ongewenst ieders email kan controleren, versturen, deleten enz. Mag dit wel? ik geloof namelijk dat dit NIET mag, gezien wij hier zelf geen toestemming voor gegeven hebben.

    Ik verneem graag je reactie, Bedankt..

  13. @Rens, ik ben dan geen expert maar ik deel je mening dat dit niet zomaar mag. Maar sowieso heeft ieder bedrijf wel ??n of meerdere mensen in dienst die toegang hebben tot de mailserver en dus ieder mailtje die er intern wordt verstuurd. Daar is nu eenmaal een noodzaak toe om die server te kunnen beheren en heeft niet het doel om de medewerkers te bespioneren. Dus de medewerker waar je op doelt heeft wel het recht om zichzelf toegang tot jouw mailbox te verschaffen indien dat noodzakelijk is voor het beheren van het bedrijfs-systeem. Maar als hij wordt betrapt op het doorlezen van jouw emails zonder toestemming dan kan hij op straat worden geschopt.

    Dus welke motivatie is gebruikt om deze medwerker deze toegang te geven?

    Verder, als je prive wilt emailen, gebruik dan een eigen prive-account zoals GMail, HotMail of Yahoo Mail. Dat is immers een mailbox waar je werkgever nooit aan mag komen!

  14. @Wim,

    Bedankt voor je reactie, echter gaat het hier niet om de engineer welke de mailserver beheert, maar 1 van de directieleden die in de gaten houdt wat een ieder doet en of je je mail wel goed afhandeld.. controle dus…en geloof me ik ben echt niet de enige.Tevens worden dit soort acties ook tegen je gebruikt in dit bedrijf. Ik gebruik deze email alleen zakelijk voor prive heb ik hotmail. Ik vraag me gewoon echt af of dit wel mag! Er bestaat toch zoiets als de wet privicy?

  15. @Rens, een directielid die de medewerkers bespioneert op het bedrijfs-mail systeem dus. Arnoud heeft op security.nl al een artikel over geschreven. Dit is wat hij erover zegt:

    Nee, dat kan niet zomaar. Het lezen van mails van werknemers is alleen toegestaan als daar een concrete aanleiding voor is, bijvoorbeeld klachten van collega’s of klanten dat deze de mail misbruikt. Een werkgever mag niet zonder aanleiding mails van werknemers gaan scannen op mogelijk ongepast of niet-werkgerelateerd gebruik. (Laat je je mail openstaan op je monitor en zet je de screensaver niet aan, dan mag je werkgever natuurlijk wel lezen wat er op het scherm staat.)

    Kortom, dit directielid doet iets wat wettelijk niet is toegestaan.

    Maar ja, dan de vraag wat je er als werknemer tegen kan doen. Je kunt natuurlijk aangifte doen, klachten indienen en wat nog meer maar dit zal de relatie met je werkgever op zeer gespannen voet zetten. Het antwoord van Arnous is juridisch mooi maar geeft dus geen antwoord op de vraag wat je er tegen kunt doen.

    Arnoud? Kun je toelichten wat de mogelijke vervolg-stappen zijn?

  16. Wellicht een anoniem printje van arnouds artikel op zijn bureau leggen? Niet ideaal, maar in ieder geval weet hij niet van wie het is (tenzij hij al van iemand specifiek bezwaren heeft gehoord, van jou of een medecollega). Of kan dat gezien worden als een soort van ‘bedreiging’?

    (Misschien heeft het directielid al remotedesktop meegespied terwijl je hier de vraag stelde? :p)

  17. Leuk bedacht, Lepelaar. 🙂 Maar of zo’n werkgever zich daar veel van aan trekt? Sowieso is het nog vrij onduidelijk of dit wel of niet mag. Je zou daarbij je eigen contract moeten doornemen. Als daarin staat dat je een zakelijk email-adres hebt gekregen voor alleen zakelijke doeleinden, dan is er een kans aanwezig dat je werkgever er ook toegang tot mag hebben. Het hangt dan af van hoe dit in je contract is bepaald. In Finland is dit mogelijk zelfs legaal en heb je op je bedrijfs-mail adres dus geen privacy. In Nederland is daar echter meer onduidelijk over.

    @Rens, Het klinkt overigens alsof je geinformeerd bent dat je werkgever je emails leest. Dus gebeurt het niet stiekem. Dan mag het in principe wel, mits er tevens een gedragscode wordt aanvaard door werkgever en werknemer.

    Het College Bescherming Persoonsgegevens heeft op hun site verdere informatie over dit alles.

    Vuistregels voor controle op gebruik van e-mail en internet Algemene vuistregels 1 Behandel zaken online op dezelfde manier als off line. 2 Stel heldere regels op met de instemming van de ondernemingsraad. 3 Publiceer de regels op een voor de werknemer toegankelijke wijze. 4 Stel vast in hoeverre priv?-gebruik van de faciliteiten is toegestaan. 5 Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk. 6 Anonimiseer rapportages en gebruiksstatistieken. 7 Houdt rekening met de back-ups van het systeem. 8 Garandeer de integriteit van de systeembeheerder. 9 Bespreek geconstateerd gedrag zo spoedig mogelijk met betrokkene. 10 Biedt inzage in de gegevens. 11 Evalueer de regels periodiek. Vuistregels voor e-mail en internet 12 Probeer zakelijke en priv?-mail te scheiden en ontzie priv?-mail zoveel mogelijk. 13 Beperk de controle tot het vooraf geformuleerde doel. Voorzie in op de doeleinden toegesneden controlemechanismen. 14 Voer de controles op naleving zo beperkt mogelijk uit (maatwerk). 15 Beperk de logging tot de verkeersgegevens. Bewaar de loggegevens niet langer dan noodzakelijk is. 16 Ontzie geprivilegieerde informatie van ondernemingsraadleden en bedrijfsartsen in elektronische berichten
    Maar ja, dat zegt nog niets over wat je kunt doen als je werkgever deze regels overtreedt. Hoe bang ben je uiteindelijk dat klagen hierover kan resulteren in het verlies van je baan?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS