Moet ik de curator toegang geven tot persoonsgebonden mailboxen van ons bedrijf?

strong-password.pngEen lezer vroeg me:

In mei is het bedrijf failliet verklaard waar ik werkte als systeembeheerder. Nu kreeg ik een brief van de curator dat hij alle wachtwoorden wil hebben van mij, inclusief van persoonsgebonden accounts en mailboxen van werknemers. Ik heb daar morele bezwaren tegen, omdat die werknemers erop mochten vertrouwen dat ik hun wachtwoorden geheim zou houden en niet zou gaan snuffelen in mailboxen. Ik weet niet wat de curator met die gegevens gaat doen en ben bang dat ik erop aangekeken wordt. Wat kan ik doen?

Juridisch gezien is hier heel erg weinig tegen te doen, ben ik bang. Punt is namelijk, eigenlijk zijn het gegevens van de werkgever. Doe eens alsof het geen login/password is maar een sleutel van een kluis die op kantoor staat. Zou je het dan ook ‘jouw’ sleutel vinden, omdat er een labeltje aan zit met je naam erop of omdat je werkgever die aan jou gaf en zei “met niemand anders delen”?

De curator heeft het recht om alle bedrijfseigendommen in te zien en de volledige administratie door te lopen, sterker nog dat is zijn plicht want hij moet nu redden wat er te redden valt. Hem dus toegang tot dingen ontzeggen is eigenlijk niet de bedoeling. De wet bepaalt zelfs expliciet (art. 99 Faillissementswet) dat hij alle post mag openen die voor de gefailleerde binnenkomt, ondanks het briefgeheim.

Je kunt je afvragen wat de curator nu precies in die mailboxen moet. Maar is het jouw taak om daarover te waken? De rechtbank heeft de curator benoemd als onafhankelijk persoon. Bij twijfel kan hij de rechtbank vragen of iets mag, en hij kan altijd door diezelfde rechtbank worden aangesproken als iemand een klacht heeft.

Dat collega’s je erop aankijken, is mogelijk maar juridisch kan dat geen consequenties hebben. Dat je geheimhouding beloofde, deed je als werknemer. Je bent als werknemer niet privé aansprakelijk voor zakelijke beloftes. Een claim wegens schending van de geheimhouding moet dus tegen het bedrijf (tegen de boedel) worden gemaakt.

Arnoud

22 reacties

    1. Als de curator bij die mailboxen wil dan moet jij die mailboxen voor hem openen ja. Of je dat nou doet met een password reset of door hem als gedelegeerde toe te voegen of zo, dat doet er niet toe. Maar het is hetzelfde als wanneer de curator toegang wil tot de kluis op het directiekantoor. Hoe het ding open gaat, is jouw probleem, maar open gáát ie.

      1. Maar dan zou de curator toch om toegang tot de mailboxen moeten vragen, niet om de wachtwoorden? Ik zou het ook niet prettig vinden (als medewerker zijnde) dat mijn wachtwoord (die ik wellicht ook voor andere zaken gebruik) in handen van derden komt.

        Ik zou ‘m overigens gewoon een admin account geven (of het wachtwoord daarvoor), en daarmee moet het dan ook lukken…

        Als ze aan mij vragen om de sleutel van de kluis, en die heb ik niet, dan kan ik toch niet verplicht worden om de kluis dan maar op een andere manier te openen? Of moet ik daar zelf dan iemand met een lasapparaat voor inhuren?

  1. De werkelijk schokkende zaken in dit verhaal zijn natuurlijk dat de systeembeheerder blijkbaar over een lijst van plain-text wachtwoorden beschikt, en ten tweede dat de curator toegang tot die mailboxen wil krijgen door middel van impersonatie, in plaats van ze gewoon te openen via het admin-account.

    Ik vraag me dan ook af of de curator wel het recht heeft om te impersoneren, d.w.z. als medewerker Jan of Piet in te loggen in het systeem.

  2. De systeembeheerder geeft aan niet meer voor het bedrijf te werken. Waarom zou hij dan uberhaupt iets voor zijn voormalige werkgever of diens curator moeten doen? Als die curator iets van hem wil kan hij een leuk aanbod doen. En wat als de ex-systeembeheerder geen documenten van zijn ex-werkgever meer heeft en zijn eigen wachtwoorden is vergeten.

    1. Goed punt. Als ex-werknemer heb je in principe geen verplichtingen meer tegenover je ex-werkgever. Tenzij je contract anders heeft bepaald. Sowieso is het niet logisch dat een ex-werknemer nog toegang heeft tot het systeem van het bedrijf. Als werknemer kun je die inlog-gegevens gewoon het beste vergeten en als werkgever moet je natuurlijk meteen de wachtwoorden veranderen die bij de werknemer bekend waren. Dus een ex-werknemer zou de curator hierbij niet eens kunnen helpen.

  3. Conclusie van de bovenste twee reacties is inderdaad; “Vertel die curator alsjeblieft wat een admin-account is en geef hem hier één van. En tevens, meldt via een email aan de werknemers dat er in hun mailbox gekeken gaat worden.”

    Maar verder zou ik hier geen bezwaar tegen hebben. Er is natuurlijk een reden dat ik een privé-email account hanteer, naast het email adres van mijn onderneming.

  4. De vraag voor mij is, of het hier privé accounts betreft die op het domein van de zaak lopen, zoals b.v. “olavprive@special-projects” of dat het de toegang tot “vangerven@special-projects”, het zakelijk gebruikte account betreft. Indien de werkgever der werknemers bewust een privé-account ter beschikking heeft gesteld om zakelijk en privé te kunnen scheiden, betwijfel ik of er een recht voor toegang tot de privé-accounts bestaat. De werkgever hosted die welliswaar, maar mag ervan uitgaan, dat er geen zakelijke correspondentie op wordt gevoerd. Vergelijkbaar voor mij met een account op “web.de” of “t-online.de”.

    Voorwaarde is natuurlijk wel, dat hierover vooraf duidelijk afspraken zijn gemaakt.

  5. Laten we de kluisanalogie nog even voortzetten. In mijn burokastjes heb ik ook privedingen liggen. Ik neem aan dat ik die gewoon mee naar huis mag nemen als het bedrijf failliet gaat zonder dat de curator daar aanspraak op kan maken.

    In mijn werkmail zitten ook priveberichten (en vice versa). Dat lijkt me net als bij de burola geen probleem. Mag je dan als werknemer die privemails dan nog verwijderen?

    1. Zo zit ik ook te denken: de curator heeft recht op alle zakelijke correspondentie en de mailboxhouder kan daaruit de niet-zakelijke mails verwijderen. Daar heeft de curator immers niets aan; de belangen van de schuldeisers worden er niet mee geschaad.

      Verder zie ik ook nog de situatie voor mij dat iemand een laptop van de zaak heeft en die ook privé mag gebruiken. Als daar vakantiefoto’s op staan, dan heeft de curator daar toch geen bal mee te maken?

  6. Een werkgever mag toch ook niet zonder meer in je mailbox kijken? Waarom zou een curator dan meer rechten hebben?

    Uiteraard zal het wel geregeld zijn op de een of andere manier, maar is er dan nog een of andere zorgvuldigheidsverplichting? Moeten de werknemers geïnformeerd worden?

    1. Helaas mag een curator meer dan een werkgever. Een curator moet gewoon zoeken naar financiele middelen binnen het bedrijf om zo de schuldeisers te betalen. Voor dat onderzoek zou het kunnen dat hij alle emails controleert om te zien of bepaalde werknemers niet stiekem bedrijfsgeheimen hebben gedeeld met anderen of andere activiteiten hebben gedaan waardoor het failliete bedrijf op hen weer een schadeclaim kan verhalen. Alleen al medewerkers die anderen hebben gemeld dat het bedrijf op het punt van faillisement staat kunnen dan al in problemen komen, indien zij hierover een geheimhoudings-plicht hadden. Zo ook voor medewerkers die -ondanks het concurrentiebeding- vlak voor het faillisement al bij de concurrent gingen solliciteren. Er kunnen zaken van waarde in die emails staan. De curator heeft verder nog wel geheimhoudings-plicht maar als hij ziet dat werknemers zich hebben misdragen ten koste van het bedrijf kan hij met schadeclaims proberen te komen.

    2. Uiteraard moet ook de curator rekening houden met de privacy van de werknemers. Echter, vanuit dat standpunt mag je hem niet botweg de toegang tot de mailbox weigeren.

      Lastig is wel dat áls de curator de privacy schendt, het moeilijker is om de daardoor geleden schade* te verhalen. Bij een werkgever kun je daar nog een punt van maken, maar bij een curator-handeling is er weinig te halen.

      *Als die er al is natuurlijk. Welke schade lijdt je doordat de curator ziet dat je privé zat te mailen met je vriendin?

      1. Tja, prive mailen met je vriendin gaat natuurlijk ten koste van je daadwerkelijke werk. Maar mogelijk dat de curator redenen kan vinden voor een ontslag op staande voet, zodat je als ex-werknemer ook geen ontslagvergoeding kunt eisen. Of erger: de curator merkt dat je in contact stond met een concurrent en dat je daar bent gaan werken ondanks het concurrentiebeding. Dan kan hij een schadeclaim proberen in te dienen, wat hem weer geld oplevert. De schade die je dan als werknemer hebt is dus dat je dat schadebedrag moet gbetalen en/of de gerechtelijke procedure-kosten om je tegen het ontslag en schadeclaim te verzetten. Wat weer betekent dat je je mag aansluiten bij de overige schuldeisers…

  7. Een curator treedt op in het belang van schuldeisers om zoveel mogelijk van hun vorderingen uit het ex-bedrijf te halen. Daartoe wordt hij bewindvoerder en krijgt hij eindverantwoordelijkheid over alle bedrijfseigendommen. Tot zover is er geen discussie.

    Dat hij daarmee álles zou mogen lijkt me boud. Dat hij brieven aan het bedrijf mag openen klopt. Dat hij brieven van de Arbo-dienst aan medewerkers van het bedrijf zou mogen openen lijkt me niet – dat mag de bedrijfsleiding normaal ook niet. Dat hij sleutels kan vorderen klopt. Dat hij alle inhoud van kasten, inclusief privébezit van werknemers zou mogen toe-eigenen lijkt me niet – dat mag de bedrijfsleiding normaal ook niet.

    En evenzo: dat hij wachtwoorden mag vorderen (als die beschikbaar zijn) lijkt me juist. Dat hij toegang tot persoonsgebonden mailboxen moet krijgen, dat lijkt me niet onmiddellijk helder: de bedrijfsleiding mag dat normaal ook niet zomaar.

    Normaal zou ik zeggen, nee, een directeur mag niet zomaar mails van een medewerker lezen. Dat is een privacyschending. Dit moet in het bedrijfsreglement uitgewerkt zijn én er moet een gegronde reden zijn om de mails te lezen (ziekte, opvolging, sterk vermoeden van misstanden).
    Ook op het werk heb je privacy. Een werkgever mag niet zomaar monitoren wat mensen doen op de bedrijfspc. Hij moet daar een reglement voor opstellen waarin staat wat er wanneer gemonitord wordt en voor welk doel. En zelfs met een reglement mag niet zomaar alles: er moet altijd een redelijke aanleiding zijn om te gaan monitoren. Een vermoeden van fraude of illegale activiteiten, maar ook disproportioneel veel dataverkeer kan zo’n aanleiding zijn. Hier ligt het iets lastiger: de werkgever heeft een legitieme reden om op die pc te gaan zoeken, maar kan daarbij (bedoeld of onbedoeld) een blik werpen in privé-bestanden.

    De curator heeft legitiem belang bij toegang tot de digitale brievenbussen en tot bedrijfscorrespondentie, maar mag toch niet zomaar de privacy van ex-werknemers schenden. Hoe de afweging tussen beide exact vorm zou moeten krijgen weet ik niet, maar een stellig en eenzijdig ‘hij heeft er recht op’ lijkt me wat kort door de bocht.

    Patricks punt is ook interessant: op grond waarvan kan de ex-systeembeheerder gedwongen worden mee te werken? In een functionerend bedrijf zou het weigeren van een dienstopdracht tot strafontslag kunnen leiden, maar wat zijn hier de sanctiemogelijkheden als de vraagsteller niet meewerkt?

    Deze zou zich verwijzend naar privacy-aspecten bovendien nog kunnen beroepen op art. 273 Sr. Als er geen wachtwoordenlijst is (wat heel verstandig zou zijn) dan kan hij toegangskennis ook gewoon ontkennen. Hij moet wellicht sleutels overhandigen, maar kan niet gedwongen worden te kraken (in het ‘die kluis gaat open’-voorbeeld: de conciërge moet sleutel of loper overleggen, maar hoeft natuurlijk niet met de staalsnijbrander in de weer).

    Daarenboven: een ex-werknemer moet bedrijfsbezit retourneren, maar is niet gehouden nog werkzaamheden uit te voeren. Het digitale aspect maakt het onderscheid lastiger, maar neemt het niet weg. Wachtwoorden opsturen kan onder bedrijfsbezit retourneren geschaard worden; nieuwe admin-accounts aanmaken of sleutelen aan beveiligingsinstellingen toch niet lijkt me.

    Een ander aspect: de wachtwoorden zijn (als er een lijst bestaat) toch als het goed is reeds in het bezit van de curator? Ik neem tenminste aan dat ze niet thuis bij de ex-systeembeheerder zijn, maar opgeslagen op bedrijfseigendom. Als dat zo is, maar het toch nodig is dat de ex-systeembeheerder terugkeert naar het bedrijf om daar op een of meerdere pc’s aan de slag te gaan, en men van mening is dat dat van hem gevorderd kan worden, dan kan de curator de overige ex-werknemers toch op dezelfde gronden vorderen terug te keren en zelf toegang tot hun accounts te verschaffen?

    Of simpeler: die ex-werknemers hebben toch ieder afzonderlijk de plicht hun sleutels af te geven of op te sturen? Het verschil tussen één ex-systeembeheerder aanspreken of iedere ex-medewerker afzonderlijk is immers slechts praktisch, niet principieel.

    1. Dat hij alle inhoud van kasten, inclusief privébezit van werknemers zou mogen toe-eigenen lijkt me niet – dat mag de bedrijfsleiding normaal ook niet.
      Verrassend genoeg mag hij dat wel proberen. Je moet daarna namelijk als werknemer je persoonlijke eigendommen gaan opeisen en indien de curator deze al heeft doorverkocht mag je een schadeclaim indienen en je aansluiten bij de rest van de schuldeisers. Dus als je je prive-laptop op de zaak hebt liggen en de curator neemt deze in beslag dan krijg je een lastige strijd om je laptop weer terug te krijgen, hoewel hij hem uiteindelijk wel terug zal moeten geven. Ten minste, als jij het claimt en kan aantonen dat jij de eigenaar bent. Anders staat deze in het bedrijfspand en wordt het gezien als eigendom van het bedrijf, en dus verkoopbaar… Een probleem met het Bring-Your-Own-Device systeem is dat prive-laptops dus ook zakelijk worden gebruikt en de curator deze vervolgens kan claimen voor inzage! Maar wel beperkt tot de bedrijfs-informatie.

      1. Het is maar de vraag of zo’n schadeclaim zich tot het gefailleerde bedrijf richt, of toch eerder de wederrechtelijk gehandeld hebbende curator.

        Claimen kan iedereen. Of de curator de privé-laptop terecht of ten onrechte onder zich nam was in het geval waarnaar je verwijst niet in geding. Het hof begint zijn oordeel aldus:

        De bevoegdheid van art. 92 Fw strekt zich in beginsel slechts uit over aan de failliet in eigendom toebehorende bescheiden en andere gegevensdragers. In de onderhavige zaak is het de vraag of de privélaptop van de bedrijfsjurist X, die deze laptop dagelijks ten behoeve van de werkzaamheden van de failliet gebruikte, onder de bevoegdheden van de curator ingevolge art. 92 Fw vallen. Het hof overweegt dat de laptop zelf, als privé-eigendom van X, hier niet onder valt.
        En voorzover de informatie op de laptop wél aan de curator toekwam (want het voorlopige oordeel van het hof is dat de curator inderdaad direct en onder toezicht van de eigenaar kopieën van de harde schijf mocht maken om bij een notaris te deponeren) kon hij er vanwege de zwaarwegende privacybelangen van de eigenaar toch bijzonder weinig mee. Ondanks voorgestelde vergaande voorzorgsmaatregelen en nauw overleg met de eigenaar mocht hij de laptopinhoud niet laten onderzoeken:
        Uit het voorgaande volgt dat de curator onder deze omstandigheden IRS geen toegang tot de informatie op de kopieën had mogen geven. De grieven, voor zover hierop betrekking hebbend, slagen derhalve. Het hof zal het bestreden vonnis vernietigen en de vorderingen alsnog afwijzen.

        1. Of de curator de privé-laptop terecht of ten onrechte onder zich nam was in het geval waarnaar je verwijst niet in geding.
          Verschil is natuurlijk ook dat deze laptop bij de eigenaar thuis stond en niet op kantoor. Op het kantoor had de curator hem gewoon achter slot en grendel kunnen plaatsen tot de eigenaar aantoont de eigenaar te zijn of totdat hij het kan doorverkopen. Als eigenaar kun je vervolgens een schadeclaim indienen bij het bedrijf wegens het verlies van je laptop, maar de curator ervoor verantwoordelijk stellen is extreem lastig. Immers, de curator is in goed vertrouwen ervan uit gegaan dat alles in het bedrijfspand aan het bedrijf toekomt, tenzij iemand gaat claimen. En dan nog moet de eigenaar aantonen de eigenaar te zijn. Mocht de curator in de tussentijd dus de laptop hebben laten onderzoeken of zelfs verkocht hebben…

  8. Verschil is natuurlijk ook dat deze laptop bij de eigenaar thuis stond en niet op kantoor.
    ” Op maandag 17 september 2007 moest X op last van de curator zijn laptop op het werk achterlaten. “

  9. In het verlengde hiervan: als mijn internetprovider failliet gaat, krijgt de curator dan automatisch de beschikking over de inkomende mail die aan mij (een klant) was gericht? En hoe zit het met bestanden die ik bv op een virtual drive (a-la Google drive) heb geparkeerd?

  10. En wat is nu het antwoord op de gestelde vraag? Arnouds stukje zegt ‘ja’, maar de discussie suggereert ‘nee’ (tegenover een ex-werkgever heb je geen verplichtingen als werknemer – maar wat voor plichten heb je tegenover de curator? ).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.