Een lezer vroeg me:
Beleid bij ons bedrijf is dat bij uitdiensttreding de home-schijf van werknemers wordt gewist aan het einde van de laatste werkdag. Nu kan het voorkomen dat daar privé-informatie op staat (dit is oogluikend toegestaan in ons reglement). Zijn wij verplicht de werknemer hier een kopie van te geven, en verandert de GDPR daar nog wat aan?
Wanneer iemand uit dienst gaat, is het voor de werkgever natuurlijk prima om dan diens laptop en/of netwerkinformatie te wissen. Die apparatuur en opslag zijn dan niet meer nodig voor het werk, en mogen dus weg.
Het is mogelijk (en wettelijk toegestaan) dat er hier en daar wat privéinformatie tussen zit. Veel mensen hebben bijvoorbeeld muziekbestanden opgeslagen om naar te luisteren, wat administratie om bij te werken of logs van privéchats. Dat is op zich prima, en een goed werkgever heeft dat te tolereren zolang het werk er geen last van ondervindt.
Een werknemer heeft echter geen recht op een kopie van die informatie. Informatie is geen eigendom, en als deze dus wordt gewist na einde dienstverband dan heeft de ex-werknemer daar niets tegenin te brengen. Heel misschien als je zegt, een goed werkgever laat mensen die privézaken meenemen, en stuurt ze na als die vergeten blijken, maar ik vind dat hij dat gewoon op de laatste werkdag zelf had moeten uitzoeken.
De GDPR of AVG verandert daar weinig aan. Het klopt dat deze een recht bevat om een kopie van jouw persoonsgegevens op te vragen. Daarmee kun je dus je personeelsdossier in kopie krijgen, maar met een beetje goede wil zou je ook daar die privédocumenten met administratie onder kunnen rekenen. (Een muziekbestand is geen persoonsgegeven enkel omdat het in jouw home-schijf staat.) Alleen vervalt dit recht wanneer de gegevens met goede reden zijn gewist – en uitdiensttreding zie ik als een goede reden.
Arnoud
Dit houdt natuurlijk alleen stand als je daadwerkelijk hebt kunnen werken op je laatste werkdag. Op het moment dat je op kantoor geroepen wordt voor een onverwacht slecht-nieuws-gesprek en terwijl dat gesprek gaande is, is iemand bezig een doos te vullen met je fotolijstje en je laptop aan het wissen is, heb je zelf niet meer de mogelijkheid om die gegevens veilig te stellen. Zou dat nog iets veranderen aan de situatie?
Wat mij betreft heb je voor privé zaken ook een privé backup te regelen bv in de vorm van een kopie van de bestanden in je privé mailbox.
” Die apparatuur en opslag zijn dan niet meer nodig voor het werk, en mogen dus weg.” Wettelijke bewaar- en archiefplichten niet vergeten
Welke bewaar- en archiefplicht heeft een privaatrechtelijke werkgever ten aanzien van digitale bestanden op de laptop van werknemers? Serieuze vraag. Het personeelsdossier is een ander verhaal, de contracten e.d. natuurlijk ook maar die staan (als het goed is) in een CRM systeem of iets dergelijks.
De bewaarplicht bij accountants is vrij uitgebreid. Daarnaast heb ik wel eens ivm gerechtelijke onderzoeken van mijn baas doorgekregen dat we geen enkel bestand mbt tot klant X weg mochten gooien, zelfs de temp directory moest veilig gesteld worden; met alle half afgeronde bestanden en crashlogs die daar instonden.
Ik vroeg het omdat ik het vaak hoor en men meestal slechts indirect een wettelijke basis weet aan te wijzen. 🙂 Vaak zijn “wettelijke bewaarplichten” in feite “het lijstje dat onze auditor ooit opstelde” of iets dat men op vage juristenblogs las als belangrijk punt.
Klopt, bij Amerikaanse rechtszaken moet álles bewaard omdat het in kopie naar de wederpartij gaat. Maar dan zit je specifiek in een gerechtelijke procedure. Het is niet zo dat je alles maar dan ook alles moet bewaren voor het geval je aangeklaagd kan worden.
Sterker, vanwege de Amerikaanse “discovery” regels geven bedrijfsjuristen aan dat je zo min mogelijk gegevens moet bewaren. Toen ik bij een Amerikaanse multinational werkte, werd om die reden de auto-log faciliteit van het interne chat programma centraal geblokkeerd (erg handig als je die logs af en toe nodig had om te laten zien dat je bepaalde dingen had gecommuniceerd), en werd de minimale bewaartermijn voor email dus de gelijk ook de maximale bewaartermijn (alles zodat er zo min mogelijk te “discoveren” was). Als er dan een echte procedure aan de gang was, dan werd dat omgedraaid, en moest juist weer wel alles bewaard worden (voor zover het relevant kon zijn).
Inderdaad, zo min mogelijk bewaren is bij Amerikaanse klanten het devies. Het probleem is als je ergens mee bezig bent dan wil je wel oude versies bewaren met aantekeningen e.d. zodat je nog weet waarom je keuzes hebt gemaakt. Aan het eind van het liedje wordt alles weggegooid, behalve de versie die naar de klant gaat.
Ik heb zelfs een klant gehad die altijd alles telefonisch afhandelde, e-mail discussies zijn een risico. Als iemand een keer iets in een brainstorm roept wat niet mag, heb je daarna een perperdure advocaten rekening om uit te leggen dat dat welliswaar gezegd is, maar dat het echt niet zo gedaan is, omdat wij ook tot de conclusie kwamen dat het niet mocht.
Kort samengevat: Amerikanen zijn gek!
Dat is dus het mooie; niets gaat in kopie naar de tegenpartij.
Elke discovery waar ik mee te maken heb gehad zegt de amerikaanse rechter: ‘ Elroy, wil jij al jouw communicatie met klant X bewaren. en leter komt er dan het verzoek die op te sturen. Ik werk echter in Nederland en elk verzoek daartoe werd door onze legal counsel de nek omgedraaid, omdat men verzuimt een gerechtelijk bevel te halen in Nederland.
Het komt uiteindelijk altijd neer op: Alle communicatie die wij met klant X hebben gehad is beschikbaar bij klant X, alle interne comunicatie over klant X blijft achter slot en grendel tot we een rechtsgeldig verzoek hebben.
Er wordt maar al te makkelijk aangenomen dat elk bedrijf zijn informatiebeheer op orde heeft. Zodra dat niet zo is, is de kans reëel dat er in de “persoonlijke” bestanden informatie zit die de onderneming nodig heeft in geval dat … Die gevallen dat er informatie bewaard moet worden zijn ook niet altijd even inzichtelijk. Neem de diverse eisen die zien op klantbescherming (financiële diensten) die uitmonden in verantwoording richting ketenpartners of een toezichthouder. Je hebt gelijk dat er vaak maar wat wordt geroepen, maar even vaak wordt er ook niet bij stilgestaan.
Als het er nog is, heb ik recht op een kopie er van. Dus doe maar een partial restore. En dat dat veel werk zou zijn, is niet mijn probleem – de AVG eist dat jouw IT is ingericht om mijn rechten te waarborgen (artikel 25).
Even een variant hierop: de werkgever besluit om alle computers te upgraden naar een nieuw besturingssysteem. Alle bedrijfsdata staat sowieso ergens in de cloud of op het netwerk en met een speciale image is iedere PC al standaard klaar om uit te leveren. Twee weken voor de migratie krijgen de werknemers een waarschuwing om belangrijke data nog even veilig op de netwerkshare te zetten en vervolgens gaan de beheerders in het weekend aan de slag om alle computers te vervangen en de oude computers af te voeren.
Heb je dan nog het recht op toegang tot je oude PC om je privé gegevens op te halen?
Ik zou zeggen van niet, je had twee weken om je data te kopiëren en dat is best netjes voor een werkgever. Wat zou je meer kunnen verlangen als werknemer met privézaken zonder backup op een werkcomputer?
De goeie ouwe floppy. Twee keer meegemaakt (1990 en 1995) en gewoon alles meegenomen. Denk ook niet dat iemand er bezwaar tegen zou hebben gemaakt, als ze al geweten hadden, wat niet het geval was. Trouwens, in het tweede geval werkte ik vaak thuis en synchroniseerde ik sowieso elke dag m’n thuiscomputer en werkcomputer. (Hoezo laptop? Hoezo netwerk? Dat kwam later pas.) Met een scriptje dat mee.bat heette of zo.
Zoals ik al dacht: ik heb ‘m nog steeds, die mee.bat. Gedateerd 26 september 1996 (maar toen was ik daar toch al weg?). 164 bytes maar. Werd een pkzip’je in getrokken. Toen het leven nog simpel en overzichtelijk was. Hoewel, ik heb er nog wel greep op.
Maak het in dit geval voor de GDPR of AVG nog uit van wie het initiatief gekomen is om de gegevens te bewaren? Ik zie namelijk een tweetal verschillende situaties:
1. Je werkgever heeft opslagruimte op hardware die van je werkgever is en bewaart daar privégegevens van jou, of verlangt van jouw dat jij daar privégegevens (een C.V. bijvoorbeeld) plaatst.
2. Je werkgever heeft opslagruimte op hardware die van je werkgever is en jij bewaart daar uit eigen beweging, maar met een algemene toestemming van jouw werkgever om privégegevens daar te bewaren, privégegevens waar jouw werkgever nooit om gevraagd heeft.
Misschien maakt dit wel niets uit en zijn beide situaties voor de wet hetzelfde, maar ik zou me persoonlijk voor kunnen stellen dat je in situatie 2 wat minder recht hebt om die data op te vragen dan in situatie 1 het geval zou zijn.