Beter blijf je van je telefoon en WhatsApp af als de ACM binnenvalt

De Autoriteit Consument & Markt (ACM) heeft aan een bedrijf een boete van 1.84 miljoen euro opgelegd omdat ze een onderzoek van de ACM heeft belemmerd. Dat meldde de toezichthouder onlangs. Medewerkers van het bedrijf dat wordt onderzocht voor het maken van concurrentievervalsende afspraken, hebben WhatsApp groepen verlaten en chats gewist tijdens een inval van de ACM. Die viel daar binnen omdat het bedrijf werd verdacht van overtreding van de Mededingingswet, zeg maar kartelvorming. En dan is het natuurlijk wel héél erg de bedoeling dat iedereen van zijn spullen afblijft en geen bewijs gaat zitten vernietigen.

De inval gebeurde in 2018, het bedrijf wordt niet genoemd omdat het onderliggende onderzoek naar die kartelvorming nog niet is afgerond. Het bedrijf zou met andere bedrijven samenspannen om de markt te verpesten, maar vanwege anonimisering is niet precies duidelijk op welke manier. Het zou bijvoorbeeld prijsafspraken kunnen zijn (samen gelijkluidende offertes maken, of afspreken dat de rest even wat hoger offreert zodat jij deze keer de opdracht krijgt), of samen coördineren hoe een concurrent uit de markt te houden, of ga zo maar door.

In ieder geval iets dat de ACM ernstig genoeg vond om een onaangekondigde inval te doen. Doel daarvan is om bewijs te vergaren om de zaak rond te krijgen, iets wat lastig is omdat dergelijke verboden afspraken (“onderling afgestemde feitelijke gedragingen”) natuurlijk niet formeel in notulen vastliggen. In dit geval bleken medewerkers dus WhatsApp in te zetten om af te stemmen met die andere partijen – althans waarschijnlijk, want vlak na de inval bleken mensen uit relevante groepen te zijn gestapt en chats te hebben gewist.

De ACM was daar natuurlijk niet blij mee, maar het is goed te lezen dat de directie zelf dat ook niet was:

Volgens de advocaat hebben zij, toen hij en de leidinggevende medewerker rond 13:30 uur erachter kwamen dat één van de hierboven genoemde werknemers chats had gewist, de relevante werknemers van de Onderneming onmiddellijk de instructie gegeven van al hun app-berichten af te blijven en uit geen enkele app-groep te stappen dan wel berichten te wissen.

Het bedrijf gaf vervolgens volledige medewerking aan het onderzoek en verstrekte zelfs meer informatie dan waar ze van de wet verplicht toe waren. Dat laat voor mij wel zien dat dit geen bewuste tactiek was om die berichten te laten wissen en dan te zeggen “ja sorry eigengereide medewerker, had niet mogen gebeuren”.

Desondanks kiest de ACM er voor om een boete van 1.8 miljoen euro op te leggen, als duidelijk signaal dat dit écht niet door de beugel kan. En vooral als signaal dat je als werkgever moet zorgen dat je werknemers dit niet kunnen doen, ook niet op eigen houtje. Ik verwacht dus dat de nodige bedrijven nu beleid gaan maken dat WhatsApp niet meer mag en/of dat de chats centraal gelogd moeten worden. Maar ja, als mensen de Mededingingswet willen gaan overtreden dan verzinnen ze daar ook weer een oplossing voor.

Arnoud

20 reacties

  1. Ik snap niet waarom ze dat telefonisch of cia Whatsapp of e-mail zouden doen. Je laaat dan veel te veel (digitale) sporen achter. Het voordeel van markt verstorende afspraken in bepaalde sectoren kan ik me wel voorstellen als er weinig concurrenten zijn.

    1. Elkaar in een schimmig hotel ontmoeten dan maar? 😉

      Je zou in principe via WA op een pre-paid simkaart die je via je neefje gekocht hebt kunnen communiceren. Telefoons dan niet op het werk leggen en dan ook niet in de buurt van het werk of andere bekende locaties aanzetten (of in de buurt van je eigen telefoon/ander traceerbaar iets) Maar telegram is waarschijnlijk nog net iets beter

  2. Ik las het bericht vol interesse vorige week. Ik kon even snel maar 1 bedrijf bedenken die zoveel lak heeft aan regelgeving, en vaker met invallen wordt geconfronteerd. Maar goed.

    De vraag mijnerzijds is, in hoeverre kan de ACM dit handhaven bij een (hoger) beroep? Er spelen namelijk een aantal zaken:

    – Medewerkers kunnen gehandeld hebben, niet zozeer om het bedrijf te beschermen, maar om zelf niet strafbaar te blijken. En tsja, dan is medewerking aan je eigen vervolging niet verplicht.

    – Als je niet je eigen hagje probeert te redden, is het wel strafbaar is om bewijs te vernietigen onder WvS 189. Maar is de ACM dan wel “politie”, “ambtenaren van justitie” of “openbare dienst van een internationaal gerecht”? En was er wel sprake van een verdenking van een Misdrijf?

    – Als WvS189 niet opgaat, op grond van welke regelgeving verzwaart de ACM dan de boete?

      1. Betekend dit dan ook dat als er strafrechterlijk belastend materiaal wordt aangetroffen (stel medewerker had ook wat afpersbrieven op zijn telefoon staan, niet gerelateerd aan zijn werk), dat dit dan niet bruikbaar is als bewijs voor een eventuele strafzaak? Anders wordt het wel heel makelijk om met een beroep op het bestuursrecht allerlei beschermende regels uit het strafrecht te omzeilen.

  3. De verklaring van de advocaat doet voorkomen of er slechts 1 medewerker iets gedaan heeft maar het document van de ACM is duidelijker:

    1. 17. In ditzelfde openingsgesprek met de Onderneming vorderde de toezichthouder van de ACM in het kader van het onderzoek de aanwezigheid van twee medewerkers van de Onderneming. Zij verschenen dezelfde ochtend om 10:00 uur. Op verzoek van de toezichthouder van de ACM zetten deze medewerkers de mobiele telefoons die zij voor zakelijk gebruik bij zich hadden op “vliegtuigmodus” en stelden deze voor onderzoek ter beschikking aan de toezichthouders van de ACM.

  4. Volgens de advocaat van de Onderneming is één van voornoemde werknemers voorafgaand aan het ter beschikking stellen van zijn telefoon aan de ACM, uit een aantal interne app-groepen gestapt.

  5. Om circa 10u15 heeft de toezichthouder de Onderneming andermaal gewezen op haar medewerkingsplicht en specifiek aangegeven dat het onderzoek onder meer inzage in telefoons van diverse medewerkers van de Onderneming omvat. Hiermee specificeerde de toezichthouder van de ACM de bevoegdheid uit artikel 5:17 Awb en de medewerkingsplicht van artikel 5:20 Awb.

  6. Volgens de advocaat van de Onderneming zijn vanaf een uur of 12:30 diverse medewerkers uit enkele interne app-groepen gestapt en wisten zij tevens de bij die appgroepen behorende chats.15

  7. Volgens de advocaat hebben zij, toen hij en de leidinggevende medewerker rond 13:30 uur erachter kwamen dat één van de hierboven genoemde werknemers chats had gewist, de relevante werknemers van de Onderneming onmiddellijk de instructie gegeven van al hun app-berichten af te blijven en uit geen enkele app-groep te stappen dan wel berichten te wissen.

  8. Rond 14:15 uur vond vervolgens een korte briefing plaats met de overige personen die de toezichthouders van de ACM wilden horen. Daarbij heeft de toezichthouder van de ACM nogmaals benadrukt dat het van belang was dat deze personen niets zouden wissen van hun telefoons.

  9. Hierna, om circa 14:40 uur, informeert de advocaat van de Onderneming de toezichthouder van de ACM dat verschillende medewerkers bestanden of gegevens hebben gewist en/of uit verschillende WhatsApp-groepen zijn gestapt.18 Hierop heeft de toezichthouder van de ACM aangegeven dat dit aanleiding kan vormen voor een rapport niet-meewerken en mogelijk een sanctie. De toezichthouder van de ACM vorderde een lijst met de WhatsApp-groepen die na zijn niet-wisinstructie door de desbetreffende medewerkers zijn verlaten dan wel gewist.

  10. De Onderneming heeft de toezichthouders van de ACM na voornoemde vordering een lijst ter beschikking gesteld met gewiste dan wel verlaten WhatsApp-groepen en –chats. Een deel van de WhatsApp-groepen en –chats heeft de ACM vooralsnog niet in het wel beschikbare materiaal terug kunnen vinden.

  11. Op [VERTROUWELIJK] en [VERTROUWELIJK] 2018 hebben de toezichthouders van de ACM de voor nader onderzoek geselecteerde medewerkers van de Onderneming op diverse tijdstippen gehoord en daarbij nogmaals inzage gevorderd in hun telefoons.

  12. Toezichthouders van de ACM hebben na afloop van het bedrijfsbezoek diverse handelingen met betrekking tot WhatsApp geconstateerd die zijn verricht door medewerkers van de Onderneming. Diverse medewerkers hebben WhatsApp chats gewist, verwijderd, dan wel WhatsApp-groepen en –chats verlaten, nadat de ACM de Onderneming had gevorderd mee te werken in het kader van haar onderzoeksbevoegdheden.22[/quote]

  13. Ja, toch even teruggrijpend op de post over coercion-resistant design van afgelopen maand; moet toch eenvoudig te doen zijn om een protocol te bouwen om dit soort gegevens niet invorderbaar te maken zodra de vordering komt. Dualsim-toestel ‘cadeau’ van het werk, dus privé-eigendom, en dan gewoon een simkaartje van de zaak met de eis dat alle data op het toestel zelf opgeslagen wordt, zoiets.

      1. Dit werd inderdaad bevestigd in een gesprek hierover dat ik op de radio hoorde (ik denk bij BNR). Je hebt de PINcode gewoon ter beschikking te stellen. Vragensteller: Ja maar dan kunnen jullie ook mijn priveberichten naar mijn vriendin lezen; Antwoord: Dat is dan jammer voor jou. We hebben een telefoon nodig die werkt als Truecrypt, zodat je alleen de veilige code kunt geven.

      2. Het lijkt mij toch dat je het punt kan maken dat op het moment dat een sanctie boven het hoofd hangt, de medewerkingsplicht van een medewerker komt te vervallen, en de privé-telefoon dus niet ontgrendeld hoeft te worden voor toegang tot de gegevens. Daarnaast zou ik stellen dat het eisen van toegang tot een privé-telefoon ook niet helemaal door de toetsing ‘minst belastend voor de burger’ van het evenredigheidsbeginsel heen komt.

        1. Hoezo komt die plicht te vervallen? De sanctie is er om de plicht af te dwingen.

          En welk alternatief is er? Als er geen alternatief is, is proportionaliteit sneller gegeven lijkt me. Met jouw redenering kan iedere malafide ondernemer toezicht ontwijken door alle telefoons privé eigendom werknemer te maken. Dat lijkt me niet wenselijk.

          1. Ze vragen om het toestel in de vliegtuigmode te zetten. Dan is het eenvoudig: maak een app die bij het plaatsen in vliegtuigmode ook automatisch allerlei eventueel belastende informatie verwijderd. Ook handig om bij douanecontroles in sommige landen wat minder risico te lopen.

          2. Het vervallen van de medewerkingsplicht lees ik in Artikel 5:10a; “Degene die wordt verhoord met het oog op het aan hem opleggen van een bestraffende sanctie, is niet verplicht ten behoeve daarvan verklaringen omtrent de overtreding af te leggen.” Daaruit lijkt ook een duidelijk proportioneel alternatief te komen; immuniteit voor een medewerker die een verklaring aflegt. Al is het maar omdat immuniteit voor een sanctie direct de medewerkingsplicht weer herstelt.

              1. Ik denk dat dat een heel erg precaire balans is. Als een ondernemer zaken doet die niet tegen het daglicht kunnen (misschien zonder dat de medewerkers daar 100% van weten) dan zullen ze ook niet vies zijn van dit soort constructies om hun eigen wangedrag af te wentelen op het privé gedrag van de werknemers. En iedereen die het daar niet mee eens is, die kan dat nog wel eens horen in zijn komende beoordelingsgesprek.

                Dus ik vind wel dat er ergens een plicht is om de medewerkers tegen de werkgever te beschermen in dit soort situaties, aan de andere kant, denk ik dat het argument “Maar ze kunnen de privé appjes naar mijn vriendin lezen” niet echt steek houdt want daar heeft de ACM weinig in te zoeken.

                Verder is er ook nog een enorm verschil tussen een ACM die gericht gaat zoeken en een opsporingsorgaan wat gewoon even botweg een back-up van de telefoon van iedereen trekt om daar achteraf op zijn gemakje in te kunnen gaan snuffelen. Dat laatste is buitenproportioneel en daarvoor is wel een beschermingsmechanisme nodig.

  14. Arnoud, Kan je in het kort uitleggen hoe het nou juridisch zit in dit geval? De ACM valt ergens binnen, en heeft blijkbaar de mogelijkheid om van mensen te eisen dat ze hun telefoon ontgrendelen en de inhoud ervan beschikbaar maken voor onderzoek, daar waar dat bij een strafrechtelijk onderzoek niet kan omdat je daar niet mee hoeft te werken aan je eigen veroordeling c.q. de mogelijkheid hebt om te zwijgen. Deze laatste twee principes zijn vrij fundamenteel van aard, ik begrijp niet goed waarom die blijkbaar niet opgaan bij een onderzoek van de ACM. Dat is dan, zo begrijp ik uit een eerder antwoord, bestuursrecht dus het strafrecht heeft er niets mee te maken, maar het recht om te zwijgen is toch zeker meer universeel dan het onderscheid tussen bestuurs- en strafrecht? Is het een houdbare verdediging om te stellen dat je dingen van je telefoon hebt gewist omdat je op het moment dat de ACM binnenvalt natuurlijk geen idee hebt of je mogelijk ooit als gevolg daarvan wellicht onder een of ander deel van het recht vervolgd zou kunnen worden? Is het ook niet zo dat als je zelf direct dingen verwijderd van je telefoon op het moment dat zo’n inval plaatsheeft maar nog voordat de directie mensen oproept om geen dingen van hun telefoon te verwijderen (daar zal altijd enige tijd tussen zitten natuurlijk) je niet kunt stellen dat iemand niet heeft meegewerkt? Ik ga er dan dus van uit dat het volstrekt legaal is om onder normale omstandigheden chats van je telefoon te verwijderen. Als dat niet zo is, kom je dan niet in de situatie terecht dat een bedrijf een boete kan krijgen omdat een werknemer een volstrekt onschuldig berichtje naar een collega (Vanavond sporten?) heeft verwijderd (Je kan als werknemer natuurlijk niet beoordelen wat de ACM wel of niet relevant vindt)?

    Je schreef in een eerder antwoord dat het niet van belang is of die telefoons eigendom van het bedrijf zijn en voor werk-doeleinden ter beschikking zijn gesteld of dat het prive-telefoons waren. Wat zijn de mogelijkheden die de ACM heeft als een werknemer stelt dat die telefoon prive-eigendom is en simpelweg weigert om de ACM inzage te geven? Kan de ACM opdracht geven zo’n werknemer in gijzeling te laten nemen? Mag de ACM geweld toepassen (al dan niet door de politie of zo)?

    1. Je hebt ook in het bestuursrecht het zwijgrecht (art. 5:10a Awb). Maar het afgeven van je telefoon ter doorzoeking valt daar niet onder. Pincodes onthullen wel, maar dat was in deze zaak geen issue. Het vernietigen van bewijs is hier relevanter. Je mag in het strafrecht bewijs van je eigen misdrijven vernietigen (art. 189 Strafrecht), doe je dat (opzettelijk en wederrechtelijk) van andermans misdrijf dan ben je strafbaar. In het bestuursrecht ken ik die uitzondering niet, maar gezien het fundamentele karakter van ook dit beginsel denk ik dat hij er wel is.

      Natuurlijk kun je stellen dat jij dacht dat ze jou persoonlijk gingen vervolgen, en dat je daarom je chatlogs wiste. Echter, in dit geval vind ik dat geen houdbaar verhaal: de ACM komt binnen met de melding dat het gaat om een kartelonderzoek (Mededingingswet) en er komt een meeting waarin gezegd wordt dat het bedrijf gaat meewerken. Het doet me vanuit het bedrijf gezocht aan om dan te zeggen, ja nee die medewerker dacht privé vervolgd te worden. Door de ACM, een privépersoon bestuursrechtelijk?

      Natuurlijk is het legaal om je eigen chats te wissen. Maar in deze context gezien deze omstandigheden was dat niet “gewoon je eigen chats wissen”, maar welbewust en donders goed wetend dat je fout zat logs weghalen waaruit blijkt dat je werkgever een kartel aan het runnen was. Bovendien handel je dan niet als privépersoon maar als werknemer, je vernietigt bewijs van je werkgever. En dat is volgens mij zowel in het strafrecht als in het bestuursrecht gewoon strafbaar, om als werknemer te doen (wetende dus dát het bewijs is en dát er een misdrijf speelt).

      Bedrijven krijgen geen boetes enkel omdat er chats weg zijn, punt. Ze krijgen boetes omdat ze bewijs van een wetsovertreding wissen, of beter gezegd niet dat bewijs overhandigen als de toezichthouder dat eist. Daarvoor moet vaststaan dat het bewijs is (was) van zo’n wetsovertreding en dat het welbewust gewist is om die overtreding onbewijsbaar te maken. Dat was hier het geval.

      De ACM kan de telefoon in beslag nemen en zelf onderzoeken om te openen. De sterke arm kan worden ingeschakeld als dat nodig is, maar die mag niet afdwingen dat iemand zijn pincode geeft. Ze mogen wel een vinger of gezicht op de telefoon duwen om deze zo te ontgrendelen. Dus grofweg ben je je telefoon dan drie maanden kwijt, wordt er een forensische dump gemaakt en gaat men daarin spitten naar relevante zaken voor dit onderzoek.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.