Help, onze systeembeheerder houdt de wachtwoorden achter tot hij afgekocht is!

Een lezer vroeg me:

Bij ons bedrijf wordt de ICT door één persoon gerund. Vanwege een arbeidsconflict zit deze nu ziek thuis, en wij komen erachter dat allerlei wachtwoorden niet centraal bekend zijn zodat we steeds meer problemen krijgen met beheer en continuïteit. We hebben de wachtwoorden gevraagd aan onze zieke medewerker, maar die wil dat onderdeel maken van de schikking/vaststelling ontbinding arbeidsovereenkomst. Wat moeten wij nu doen?
Helaas krijg ik berichten als deze met enige regelmaat, soms gaat het om langdurige ziekte, soms om thuiszitten vanwege pesterijen, soms om een ernstig ongeval. Maar er zijn dus heel veel bedrijven met één iemand die de ICT doet en die als enige de wachtwoorden heeft.

Zoals een wijs HR-adviseur eens tegen me zei, onmisbare mensen moet je meteen ontslaan. Dat is hier denk ik vrij simpel: “ik wil graag de beheer-wachtwoorden en wel nu” is volgens mij een redelijk en normaal dienstbevel om als directeur te geven. Dat weigeren is een grond voor ontslag op staande voet, art. 7:678 lid 2 sub j BW (werkweigering):

Dringende redenen zullen onder andere aanwezig geacht kunnen worden … (j) wanneer hij hardnekkig weigert te voldoen aan redelijke bevelen of opdrachten, hem door of namens de werkgever verstrekt;
Ik houd daarbij wel de slag om de arm dat bij ontslagzaken de rechter altijd alle omstandigheden laat meewegen, en dat je dus altijd op zijn minst discussie krijgt over wat een “redelijk bevel” is. Maar gezien deze context (het bedrijf komt piepend en krakend tot stilstand nu) zie ik wel hoe de werknemer mee moet werken.

Natuurlijk zit je met het praktische probleem dat de werknemer kan blijven weigeren (“jullie ontslaan me toch wel”) en eventuele dwangsommen voor lief neemt. Of bij wijze van spreken het vliegtuig naar China neemt en niet meer terugkomt. Dit is waarom ik altijd zeg dat je bij digitale data liever een praktische dan een juridische oplossing wilt. Want als die werknemer niet met een geschil ziek thuis zat, maar onder de tram was gekomen, wat had je dán gedaan om de wachtwoorden terug te krijgen?

Arnoud

21 reacties

  1. Als IT’er (Die meerdere bedrijven precies daarmee geholpen heeft) kan ik zeggen dat vrijwel altijd wachtwoorden niet nodig zijn als er echt zo’n ruzie is. Wat het wel kost is geld om eromheen te komen, dat is reeele schade. Kan die verhaalt worden op de (ex) medewerker vanwege weigering de wachtwoorden te delen?

    Denk hierbij aan: – Uurtarief expert-IT – Nieuwe apparatuur – Nieuwe contracten terwijl oude nog niet aflopen. (Alhoewel die laatste vrijwel nooit nodig is, als je kan bewijzen eigenaar van het contract te zijn, ook een fout die veel bedrijven maken met IT. Contract staat op naam van “handige harrie” en niet op bedrijf b.v.).

    1. Ja, als je fysieke toegang tot een computer hebt is het meestal niet zo moeilijk om het wachtwoord te resetten. (Boot van CD of USB drive en van daar het wachtwoord op de harddisk resetten.) Alleen schijfversleuteling beschermt tegen deze truc. Een goede systeembeheerder zorgt dar er een envelop in “de kluis” ligt met de wachtwoorden, zodat het werk kan doorgaan terwijl hij in het ziekenhuis ligt te herstellen van de klap van de tram.

      Een schadevergoeding vorderen van een werknemer is zo goed als kansloos; behalve waar het gaat over de forfaitaire vergoeding bij ontslag op staande voet. Dus eens met Arnoud: geef die man(v/m) een dienstopdracht. (En kies een persoon waarmee de ex-systeembeheerder nog mee door de deur kan op de wachtwoorden in ontvangst te nemen.)

      1. Een schadevergoeding vorderen van een werknemer is zo goed als kansloos; behalve waar het gaat over de forfaitaire vergoeding bij ontslag op staande voet.

        Ik denk dat als je als bedrijf aan kan tonen dat de werknemer hardnekkig weigert de wachtwoorden te verstrekken, je nog wel een kans maakt. Een werknemer is in beginsel niet aansprakelijk voor schade die hij/zij aanricht, maar als je opzet kan bewijzen verandert dat. Als jij dus aan kan tonen dat je om de wachtwoorden gevraagd hebt en daarbij aangegeven hebt dat het bedrijf anders flink wat extra kosten moet maken om de boel draaiende te houden, kan ik me voorstellen dat een rechter dat als opzet van de medewerker ziet en (een deel van) de geleden schade toewijst. Het liefst wil je dat soort situaties natuurlijk voorkomen.

      2. Bied ook de werknemer aan om de situatie met een (arbeids-)jurist naar keuze te overleggen en neem de rekening (tot een redelijk bedrag) voor die jurist op je. De arbeidsrelatie lijkt me niet meer te redden. Doel is nu om daar allemaal met zo min mogelijk blauwe plekken uit te komen.

  2. Voor zover contracten op de bedrijfsnaam staan de leverancier benaderen en vragen om nieuwe wachtwoorden. Voor zover het gaat om lokale apparatuur is eigenlijk altijd wel een mogelijkheid aanwezig om het te resetten (en soms ook een losse optie om het wachtwoord te resetten). Dat het nu nog enkel om wachtwoorden gaat valt mogelijk wel mee, maar mogelijk handig gelijk ook te zorgen dat de rest goed in kaart gebracht is/wordt. Als enkel 1 iemand ergens bij kan moet je eigenlijk zorgen dat zsm minimaal 2 personen er bij kunnen. Als iemand dan toch in de dagelijkse praktijk het alleen wil doen zorg dan dat er een (eventueel dichte) envelop in een kluis ligt waar een ander bij kan en werk bv eens per 6 maanden een paar uur samen om te controleren of de wachtwoorden nog kloppen en hoe het werkt.

    Overigens als een bedrijf 1 iemand voor IT heeft (die het er mogelijk ook nog bij doet) is het ook een goede overweging zaken uit te gaan besteden zodat je niet meer van 1 iemand afhankelijk bent. Zorg dan wel dat je het uitbesteed aan een bedrijf bestaande uit minimaal 2 personen.

    1. In hoeverre is het juridisch (niet praktisch) überhaupt nodig dat de contracten op de bedrijfsnaam staan? Als ik als werknemer een contract sluit op mijn naam dat overduidelijk in mijn gedaante als werknemer van het bedrijf is, is het dan niet automatisch zo dat het contract feitelijk door het bedrijf wordt aangegaan. En dat het bedrijf dan dus ook via een andere persoon een wachtwoord reset kan laten doen bijvoorbeeld.

      1. Er kunnen zich problemen voordoen als de (ex-)werkgever niet meer aan de verplichtingen van het contract voldoet (denk aan wanbetaling.) In dat geval kan de (ex-)werknemer aansprakelijk gesteld worden en ligt bij haar/hem de bewijsplicht dat de overeenkomst uit naam van het bedrijf gesloten was.

      2. Waarschijnlijk sta je dan juridisch als bedrij in je recht. Gemiddels helpdeskpersoneel zal je echter niet kunnen helpen en soms niet eens mogen helpen. Een eenvoudige procedure kan dan ineens een hele complexe zaak worden. Ik denk dat in deze situatie wellicht nog wel het meest belangrijk is om te kijken op welke naam de domeinnaam(en) van het bedrijf geregistreerd staan. Alle andere zaken zijn met wat tijd en geld prima op te lossen maar het verliezen van deze ‘voordeur’ is funest voor veel bedrijven.

          1. Ja. De naam waarop deze is geregistreerd is de eigenaar van de domeinnaam. Iemand anders heeft normaal geen poot om op te staan bij het hostingbedrijf waar deze is geregistreerd. Je zult een zaak moeten starten bij de registry (voor .nl bijvoorbeeld SIDN) in de hoop je domein te kunnen vorderen.

            Als je controle over je domeinnaam kwijt bent dan heb je een heel groot probleem. Voor het bedrijfsvoering kun je ineens geen e-mail ontvangen, verzonden e-mail komt bij je ontvanger mogelijk in de span box terecht of wordt helemaal niet geaccepteerd. Je website kan worden vervangen met die van de concurrent, een pornosite of ineens virussen gaan verspreiden. De ‘onrechtmatige’ eigenaar kan alle binnenkomende mail lezen. Hiermee kan hij niet alleen gevoelige informatie stelen maar ook op alle websites waarop accounts zijn aangemaakt met e-mail adressen die onder dat domein vallen wachtwoord resets aanvragen (bijvoorbeeld bij Facebook en Twitter).

            Ja, je domeinnaam is tegenwoordig één van de meest onderschatte eigendommen van je bedrijf. En de meeste bedrijven laten de registratie over aan die handige buurjongen…

            1. Ik las “allerlei wachtwoorden” – niet specifiek iets over een domeinnaam. Mogelijk haal je deze aan omdat je andere wachtwoorden via e-mail kunt herstellen (zolang je toegang houdt tot de mailadressen). Terecht punt. Maar dat werkt niet als het om het lokale admin-wachtwoord gaat. Of om het wachtwoord van een onsite back-up.

    1. De vraag “wij zouden graag het wachtwoord willen, anders heeft het hele bedrijf een groot probleem” een redelijke vraag, en in mijn ogen blijkt het ook redelijk als het antwoord is “nee, die krijgen jullie pas bij een vaststellingsovereenkomst.” Dan is het in mijn ogen lastig verdedigen dat je niet een wachtwoord kan opsturen, het bedrijf “afpersen” kon kennelijk immers nog wel.

  3. Arnoud, in hoeverre is “Het opleveren van een lijst met accounts en systemen en wachtwoorden is werk, dus dat doe ik niet want ik ben ziek thuis” een mogelijke verdediging waar zo iemand zich op zou kunnen beroepen? Je werkgever kan immers ook niet verwachten dat je nog even bij een klant langs gaat om een contract uit te onderhandelen als je ziek thuis zit, of dat je als programmeur nog even een paar honderd regels code gaat kloppen. Waarom dus wel het overdragen van wachtwoorden? (Ik keur zo’n houding overigens niet goed, ik vraag het me gewoon af).

      1. Toch begrijp ik Gregorius wel. Het samenstellen van een lijst is werk. Laat het bedrijf maar zeggen van welk account/omgeving zij het gebruikersnaam en wachtwoord willen hebben. Waarom moet de zieke werknemer zelf gaan zitten Excellen? (Pardon? Wachtwoorden in Excel? En dan zeker op de mail. Nee, er moet gelijk een heel wachtwoord beheer systeem bij komen.)

    1. In het algemeen zie ik dat wel. Je kunt wel vragen dat men dingen geeft, dat kan indien nodig georganiseerd door een collega/HR-persoon langs te laten komen en het mee te nemen. Maar dingen laten doen door een zieke, dat gaat niet. Ook al is het “kun jij even de mail van Willemijn forwarden” of “maak je nog even de laatste pagina af”. Dat is gewoon werk, en wie ziek is, kan niet werken.

      Het voelt hier in zoverre anders dat de zieke werknemer heeft gezegd “je krijgt ze zodra we het eens zijn over mijn ontslagvergoeding”. Dat suggereert voor mij dat zhij ze hééft (op papier of in Excel) en dan denk ik dat je ze mag opeisen. Als de werknemer de wachtwoorden alleen in het hoofd heeft, dan is eisen dat ze opgeschreven worden wel gewoon werk (wat je dus niet kunt eisen) maar dan komen we alsnog bij ernstig plichtsverzuim (een systeembeheerder die de wachtwoorden niet documenteert).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.