Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Security | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op een andere manier de laptop te kunnen resetten. In hoger beroep bevestigt het Gerechtshof Amsterdam dat het wachtwoord moet worden afgegeven plus een schadevergoeding. Een ICT-faal, zoals men zegt in de reacties?

De vrouw was een goed half jaar in dienst bij het kdv, en had voor haar werk onder meer een bedrijfslaptop gekregen. Bij einde dienstverband leverde ze deze weer in, maar vervolgens bleek dat het gebruikersaccount voorzien was van een wachtwoord. Daardoor kon het kdv er geen nieuw account op zetten.

Navraag bij de vrouw gaf de op zich terechte reactie:

De administrator kan simpelweg een nieuwe account voor (…) aanmaken. Het afgeven van het wachtwoord zou betekenen dat anderen kunnen werken op mijn account. Dit zou betekenen dat men allerlei (ongewenste) activiteiten zou kunnen uitvoeren op mijn account zonder mijn in- en toestemming. (…)

Het kdv beschouwde daarop de laptop als onbruikbaar en hield de kosten van een nieuwe(!) in op haar laatste loonbetaling. Mede daarom kwam het voor de rechter. In eerste instantie oordeelde de kantonrechter dat een nieuwe laptop een tikje overdreven was, maar dat er wel schade was en die werd geschat op 500 euro.

In hoger beroep wordt dat bevestigd, met name omdat er geen inhoudelijk verweer was gevoerd tegen het verzoek. Enkel zeggen dat een administrator dat zou moeten kunnen oplossen is namelijk niet genoeg. Zeker als daar aantoonbaar tegenover staat dat er veel uren zijn gestoken in het proberen te ontgrendelen van de laptop. En ja, dan ga je nat als werknemer.

Natuurlijk, met een goede ict-infrastructuur was dit geen issue: laptop terug, standaard image erop en klaar. Of het schaduwaccount oproepen dat administrator-rechten heeft, het gebruikersaccount met data wissen en een nieuwe gebruiker aanmaken voor de opvolger. Of een van de vele andere oplossingen die een professioneel bedrijf zou kunnen inzetten om laptops te hergebruiken.

Alleen: dit is geen professioneel bedrijf met ict-afdeling of zelfs maar een fulltime ict’er. We hebben het hier over een kinderdagverblijf, waar professionele kinderverzorgenden rondlopen maar de ict-beheerskennis geen kerncompetentie is (of hoeft te zijn). Dan wordt er in de praktijk dus op een andere manier gewerkt met de ict-middelen, en het is die praktijk vanuit waar de rechtbank moet kijken hoe het geschil moet worden opgelost.

Ik kan me heel goed voorstellen dat een organisatie zoals een kdv niet in staat is een account op een laptop te wissen en dan een nieuw account in te richten. Met name als die laptop in een winkel gekocht is en bij de installatie alleen de standaardprocedure is doorlopen waarbij er één account wordt aangemaakt. Dan heb je als ict-leek best wel weinig opties behalve vanuit dat account inloggen en een nieuw account aanmaken of anderszins de boel resetten.

In die situatie snap ik best dat er weinig anders opzit. Dus zelfs als mevrouw een steviger verweer had gevoerd, had ik deze uitkomst wel verwacht. Ik zie dus niets in de argumentatie dat de rechters ict-prutsers zijn – dat zijn ze tegenwoordig zelden meer. Het is vooral dat er een knoop moet worden doorgehakt, hoe lelijk die oplossing ook is. Dus dan is alle mooie theorie over hoe het ook had gekund niet meer relevant.

Arnoud

Deel dit artikel

  1. We zien hier weer eens de situatie dat het recht een situatie moet oplossen die eigenlijk problematisch is om andere redenen. De betrekkingen waren kennelijk danig bekoeld. Er was praktisch gezien niks op tegen geweest om mevrouw te laten inloggen met een ict-beheerder erbij, samen een andere account met beheersrechten te maken en dan de andere account te verwijderen. Dat kost even tijd maar dat valt best mee. Het klopt natuurlijk wel dat je niet verplicht zou moeten kunnen worden om een ander op jouw naam te laten werken.

  2. Dit is wel zo’n verhaal wat ik begon te lezen met mijn ict-kennis in het achterhoofd en een grote ‘wtf is dit voor een uitspraak’. Maar in de loop van het verhaal ben ik het wel met je eens. Ik denk niet dat je kan verwachten dat de gemiddelde kdv-er hier genoeg kennis van heeft (en waarschijnlijk het technische neefje al te vaak heeft ingeschakeld ;)). Maar zelfs zonder enige technische ict kennis kun je toch wel googlen hoe je zoiets oplost en/of de vrouw even langs laten komen zodat ze zelf een ander account op de laptop kan zetten?

    Waar ik wel over val is dat de rechter het blijkbaar eens is dat ze het wachtwoord (wat waarschijnlijk hetzelfde is voor haar mail, thuisnetwerk, bank en faceboek) blijkbaar af moet geven omdat je geen ict ervaring mag verwachten. Zoek dan naar een oplossing waar het wachtwoord iig geheim blijft…

    • De oplossing was zelfs voor complete digibeten simpel en voor de hand liggend: Bied de vrouw de kans om in te loggen en overal uit te loggen en het wachtwoord van de laptop te resetten naar een door het KDV gekozen wachtwoord. Alles bij elkaar 5 minuten werk. Dat je eist dat de dame in kwestie meewerkt kan ik in mee komen, dat je een schadevergoeding geeft omdat het KDV door onkunde onnodig veel tijd besteed gaat mij veel te ver. De lokale Mycom toen die nog bestond deed veel meer voor vijf tientjes. Een student aan huis heb je voor 7,- per kwartier plus 8,50 voorrijkosten, dat had men ook niet kunnen bedenken? Een schadevergoeding boven de 50 euro het KDV belonen voor onkunde en slechte bedrijfsvoering, 500 is in ieder geval veel te veel.

      • Laten we even uitgaan van het feit (juist omdat het een KDV betreft en niet een gemeen bureaucratisch bedrijf) dat de vrouw in kwestie die kans wel degelijk gehad heeft en deze heeft afgeslagen. Waarom? Geen idee, natuurlijk niet relevant.

        Daarbij is het ook niet echt relevant dat er goedkopere opties beschikbaar zijn. Mijn gemiddelde digibete kennisen snappen niet goed wat computerwinkels zijn als het niet de Mediamarkt is, en hebben eigenlijk ook geen weet van student aan huis-diensten. Als hun oplossing was ‘Snel een nieuwe, want dan kunnen we door’, dan zijn dat de kosten die gemaakt zijn.

        Als de rechter daarna besluit dat alle tijd en moeite (uiteraard ook mede dankzij het regelen van de rechtzaken) diezelfde kosten betreft… had dan even naar de KDV gegaan om in te loggen.

  3. Nog afgezien van of het al dan niet anders oplosbaar is, om te beginnen is het hele probleem, namelijk het argument van de leidster “dat men dan onder haar naam dingen kan doen” in beginsel al niet zo overtuigend.

    In praktische zin is het lastig te verzinnen welke dingen men dan zou gaan doen “in haar naam”, zeker met een lokaal account op een laptop, en welke schade haar dat oplevert. En welk belang het bedrijf zou hebben om daar oneigenlijke dingen mee te doen. Als je uit dienst gaat is het volstrekt normaal dat je bv een naambordje en op naam gestelde toegangspas tot het gebouw inlevert. Die kun je ook niet achterhouden met een beroep op “dat iemand anders dan met jouw toegangspas kan gaan rondlopen”. Je kunt er in redelijkheid op vertrouwen dat met zo’n ingeleverde toegangspas niks geks gebeurt.

    • “In praktische zin is het lastig te verzinnen welke dingen men dan zou gaan doen “in haar naam”, zeker met een lokaal account op een laptop, en welke schade haar dat oplevert. En welk belang het bedrijf zou hebben om daar oneigenlijke dingen mee te doen. Als je uit dienst gaat is het volstrekt normaal dat je bv een naambordje en op naam gestelde toegangspas tot het gebouw inlevert.”

      Of het lastig te verzinnen is, maakt niet uit. Het kan en dat is voldoende. Met iemands anders naam kun je de boel oplichten. Je vergelijking met het naambordje gaat mank; dit wordt niet aan een ander uitgereikt met de woorden: “Gebruik dit maar zo lang, we hebben nog geen nieuwe.” Een bedrijf hoort zijn ICT op orde te hebben of er niet aan te beginnen. Namen van uitdienstgetreden collega’s ‘zolang’ gebruiken hoort daar niet bij.

      • “Je vergelijking met het naambordje gaat mank; dit wordt niet aan een ander uitgereikt met de woorden: “Gebruik dit maar zo lang, we hebben nog geen nieuwe.””

        Inderdaad. Bovendien, al zou dat gebeuren, dan zou er nog steeds weinig schade zijn want een toegangspas voor een gebouw kan nauwelijks anders worden gebruikt dan voor het verkrijgen van toegang tot het gebouw/bepaalde ruimtes. Plus het is duidelijk wie de pas in bezit heeft en kan dus direct worden bestraft bij misbruik zonder grote gevolgen/schade voor de privé-omgeving e.d. van de ex-werknemer. Met een laptop kun je veel meer doen en zelfs iemand het leven zuur maken door bijv. allerlei dingen op Facebook (waar de werknemer nog op ingelogd stond) te plaatsen en weet-ik-wat-allemaal. Ook dan is duidelijk wie het gedaan heeft en kan het misbruik worden bestraft, maar de geleden schade voor de ex-werknemer kan behoorlijk hoog zijn en dat is niet of nauwelijks te herstellen.

  4. Ik vind dit maar een vreemd vonnis. Alle overwegingen die hier genomen worden horen onder ondernemersrisico te vallen. Geen ICT dienstverlener? Vergeten je werknemer binnen zijn dienstverband te vragen zijn wachtwoord te vervangen? Je hebt geen backup/image? Dikke pech.

    Ik snap best dat een werknemer zijn wachtwoord NIET wil afgeven. Misschien heeft hij hetzelfde wachtwoord op meerdere plekken gebruikt. Of is zijn wachtwoord “MijnWerkgeverStommeNeus”.

    • Probleem is natuurlijk dat als werknemer ook geldt dat je werk en privé enigszins gescheiden moet houden. Herbruik je wachtwoorden dan ook niet.

      En doordat de ex-werknemer weigerde mee te werken, valt dit natuurlijk onder ‘sabotage door bewuste onwil’ (weet even niet wat de juridische term is voor werknemers die willens en wetens niet meewerken/domme dingen doen). Net zoals je als werknemer wel degelijk aansprakelijk gesteld kan worden voor alle schade die je veroorzaakt als je dronken achter het stuur zit tijdens het werk.

      • Je mag van je werkgever verwachten dat die naar jouw toe komt voor o’n probleempje (of eigenlijk gewoon dat die dat zelf oplost…)

        Dat lijkt me niet. De PC was onder beheer van de werknemer. De werknemer heeft mogelijk gebruikt gemaakt van de vrijheid van zo’n apparaat om er private zaken mee te doen maar dat is wel haar eigen verantwoordelijkheid en daar hoeft de werkgever niet voor op te draaien.

        Als ze deze zaken niet heeft gewist voor het inleveren van de laptop en nu haar wachtwoord niet wil geven omdat ze eerst deze private informatie nog wil wissen dan moet ze daar zelf maar een inspanning voor leveren lijkt mij.

        Als ze er geen private zaken mee gedaan heeft kan ze natuurlijk gewoon het wachtwoord van de laptop geven via mail of telefoon.

        • Uit de eerdere discussie kwam nog een ander scenario naar voren: de werkgever eiste dat ze de laptop in gebruik nam en verwachtte dat ze zelf een account aanmaakte bij Microsoft. Daarvoor kreeg ze geen apart mailadres van het werk, dus ze gebruikte haar eigen adres. Daardoor raakte werk en privé verweven, maar ik weet niet of je dat nu 100% de schuld van de werknemer kunt laten zijn.

        • Zoals elders vermeld is het heel goed mogelijk dat zij inlogde met haar privé microsoft account, waarmee afgeven van het wachtwoord de werkgever toegang geeft tot haar privé mail en zelfs de microsoft store als ze die gebruikt heeft, met allle betaalgegevens die ze daar heeft opgeslagen. Niet een wenselijke situatie.

          Natuurlijk kan je de login omzetten naar een lokale login, maar dan moet je wel toegang hebben tot de PC en deze was al ingeleverd.

          Ik blijf erbij dat de rechter in deze een idiote uitspraak heeft gedaan. Als je als bedrijf laptops aan je medewerkers verstrekt moet je er zelf voor zorgen dat je daar het beheer voor kan doen. Kan je dat niet, is het jouw probleem en moet je het niet afschuiven op de gebruikers. Deze rechter heeft zich laten gebruiken door het KDV om hun eigen tekortkomingen af te schuiven.

          Ik ben het dan ook met jullie beide niet eens. De werknemer is hier niet verantwoordelijk voor (zou niet moeten zijn, door deze onkunde van een rechter is dat feitelijk nu dus anders) en de werkgever moet niet naar de werknemer toe gaan. De werkgever moet er voor zorgen dat deze zelf zijn zaakjes af kan handelen en anders daar een externe partij voor inschakelen, op eigen kosten, net zoals ieder bedrijf doet dat expertise nodig heeft dat het niet in huis heeft.

          Triest dat een rechter een inschatting van de schade gaat doen en uit het vonnis dan overduidelijk blijkt dat deze geen benul heeft hoe hij dat realistisch kan doen. Vanwege de kosten heeft hij geen expert ingeschakeld en dan zelf maar wat fröbelen en op een veel te hoog bedrag komen…

  5. Ik vind dat dit KDV een dure les zou moeten hebben gekregen en zich moet realiseren dat ICT beheer niks voor dummies is. Net zoals goede kinderopvang niet door een ICT bedrijf kan worden uitgevoerd. Als ze de benodigde ICT kennis niet in huis hebben, moeten ze die inhuren. Ik ken dit KDV niet, maar véél KDV’s zijn tegenwoordig sowieso al ondergebracht onder grotere overkoepelende stichtingen etc. en groter dan menig MKB bedrijf. Ik vind het echt grote onzin dat je als (ex-)medewerker de dupe wordt van een gebrek aan kennis van je werkgever, Ronduit belachelijk.

    • De medewerker is niet de dupe van een gebrek aan kennis van de werkgever maar vooral van haar eigen handelen. Ze had de PC van haar werk voor het inleveren kunnen schonen van haar private informatie. Ze had voor het inleveren haar wachtwoord kunnen wijzigen naar een ander wachtwoord Ze had na het inleveren kunnen aanbieden om langs te komen en alsnog deze handelingen uit te voeren.

  6. Ook ik vind het een beetje rare uitspraak. Je hebt toch de plicht om de schade voor de wederpartij te beperken? Dus het kdv had inderdaad – zoals hierboven gesteld – een student kunnen inhuren en/of mevrouw had, al dan niet bij haar thuis, even kunnen inloggen om een nieuw gebruikersaccount met administrator rechten aan te maken. Raar dat dat kennelijk niet over en weer gevorderd is (in eerste termijn).

  7. Ik wil hier toch een paar kanttekeningen bij plaatsen.

    Ten eerste: Bij Windows 10 is het volgens mij vrij normaal dat je account aan je Microsoft-account wordt gekoppeld. Dat betekent dat als je die gegevens moet openstellen, je ook je Microsoft-account openstelt én dat mensen onder jouw naam op een computer zitten en zelfs mails en dergelijke kunnen sturen. Dit staat los van eventueel automatisch ingelogde Facebook of Twitter. Ik vind dan veel realistischer dat bij ontslag de werknemer bedrijfsdocumenten moet overdragen, en dat daarna de laptop gewist wordt.

    Ten tweede: Er wordt vaak op ICT bezuinigd, en dan komt men er pas achter dat ICT toch echt nodig was, als er een probleem is. Natuurlijk snap ik dat een kinderdagverblijf geen fulltime ICTer in dienst kan nemen, maar een parttime ICTer, of ten minste één werknemer die ICT taken en kennis heeft (ikzelf ben geen ICTer, maar zou dit soort zaken wel kunnen oplossen en het risico kunnen bevatten) vind ik toch wel een normale eis. Als ze dat niet hebben, is dat vooral hun probleem, en snap ik ook best dat de ex-werknemer er niet gerust op is dat het goed komt met haar inloggegevens als ze die afgeeft.

    • Dat vind ik een hele goeie en dat zou best eens de verklaring kunnen zijn. Als het account inderdaad gebonden is aan een Microsoft-account, dan is er (in theorie) de mogelijkheid dat daar misbruik van wordt gemaakt. Als de directie het account gebruikt om te resetten en een nieuw account dan niet natuurlijk, maar als ze gewoon zeggen, dag opvolgster hier is het wachtwoord succes, dan gaan er dingen mis natuurlijk. En ik zou zomaar zien dat organisaties zo werken.

      • Als je als werknemer verwacht wordt Windows 10 op je bedrijfsPC aan je prive MS account te koppelen, en dat ook nog doet, dan is er al iets mis bij zowel de werkgever en werknemer.

        Maar het geschetste scenario is zeker niet onrealistisch.

        Ik ben het echter eerder eens met de meeste reageerders hier dat dat dan toch werkgeversrisico/ondernemersrisico is.

        Want er zit nog een groot probleem: de werkgever heeft nu beschikking over vele privacygevoelige gegevens van een ex werknemer. Dat wordt nu een hoofdpijndossier, want wat doen ze daar mee? Het is betoogbaar dat ieder gebruik van de laptop nu een privacy-datalek is.

  8. Ook als je een laptop in de winkel aanschaft, begint dat ding tijdens activatie toch te piepen over het aanmaken van herstelmedia? Het is ook hopeloos naïef om een laptop te bestellen bij een winkel en deze dan verder onaangeraakt aan een medewerker te verstrekken. Als ze op die laptop vervolgens ook nog is ingelogd met een prive Microsoft account, en wellicht ook met browsersessies in allerlei andere sites, dan snap ik dat ze dat wachtwoord niet zomaar afgeeft. Maar goed, de medewerker had ook even na moeten denken en de privedata van de laptop wissen voordat ze hem inleverde…

    Wat als ze overigens het wachtwoord vergeten zou zijn? Dat heeft ze niet aangevoerd als verdediging, maar ben wel benieuwd of de veroordeling dan stand houdt?

  9. Ik moet zeggen dat ik het ook maar een raar vonnis vind. Het gaat over een betrekkelijk grote KDV organisatie met vestigingen in 4 plaatsen. Daar mag je best een ITér verwachten of op zijn minst een IT partner op inhuur basis.

    Verder is iedere laptop tegenwoordig te herstellen door bij het starten F10/F11/F12 te kiezen zonder dat je toegang nodig hebt tot ook maar een account (wil nog wel eens verschillen per merk) en anders via de standaard herstel Media. Om zoiets te herstellen naar fabrieksinstellingen hoef je echt geen verregaande IT kennis te hebben.

  10. Maar, als deze werkneemster zich zorgen maakt om oneigenlijk gebruik van haar (werk-?) account, waarom heeft zij dan zelf niet haar account leeggetrokken en de laptop herinstalleerd alvorens deze in te leveren?

    Nu werk ik zelf in de ICT, dus ik ga er van uit dat systeembeheer er wel raad mee weet (en overigens ook wel weet hoe zij onder mijn account zouden kunnen werken), maar ook ik trek voor vertrek toch echt zoveel mogelijk leeg en zet de overige wachtwoorden op “HalloSysteembeheer123” of iets dergelijks.

    • Redenen zouden kunnen zijn: Plotseling ontslag, waardoor ze niet de kans had om, of niet meer dacht aan het leegmaken van de laptop; Frictie ontstond na het ontslag, door bijvoorbeeld moeilijkheden rond betalen laatste loon, problemen met referenties of manier waarop toegang is gevraagd, of; Ex-medewerker zag wanbeleid bij werkgever en vond dat werkgever eens zelf tegen deze problemen aan moest lopen.

      Ik ken beide partijen verder niet, dus het kan best zijn dat het niet eens kán kloppen wat ik hierboven zeg, maar ik bedoel maar voorbeelden te geven waarom ze het zo gedaan kan hebben.

  11. Met 500 euro kom je toch best in de buurt van de aanschafprijs van een nieuwe laptop? Dat lijkt me ook voor digibeten een goed behapbare oplossing. “Ben je bang dat wij privé-gegevens van de laptop halen? OK, hou de laptop maar, maar dan moet je ons het geld geven om een nieuwe laptop van te kopen”.

  12. Ik dacht altijd dat de schadevergoeding in lijn moest staan met de daadwerkelijk geleden schade? 500 euro voor een herinstallatie via de ‘ingebouwde’ recoverypartitie (hoef je geen accountgegevens voor te hebben en de instructies ervoor staan in de (digitale) handleiding van het product) is wel heel gortig.

  13. Jeetje zeg wat flauw nou een schadevergoeding. Om terug te gaan naar de ‘standaard installatie van windows, had men deze laptop simpelweg naar de computerwinkel kunnen brengen om terug te laten zetten naar de kooptoestand m.a.w. de fabrieksinstellingen. Dit kost hoog uit 80 Euro.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS