Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.
Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.
Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en
stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:
Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:
WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “web security policy” overgenomen is (natuurlijk als zijnde best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.
Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.
Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.
Arnoud
Ik kan me ook voorstellen dat men de “signalen” liever voor zich houdt. Als in deze rechtzaak naar voren was gekomen dat men triggerde op – ik noem maar wat – drie transacties van 100000 euro, dan sluis ik het geld voortaan wel in vier transacties van 75000 euro weg. Dus hoe ga je daar dan mee om als bedrijf?
Je hoeft die getallen niet exact te noemen, maar je moet wel meer zeggen dan “we kregen signalen en daarom mochten we alles”. Ik snap het dilemma hoor, maar je kunt niet iemand als mogelijke crimineel aanmerken zonder te willen zeggen hoe je daarbij komt.
Maar mag een werkgever sowieso niet altijd in de gaten houden of zijn personeel niet steelt/fraudeert/bedrijfsgeheimen openbaart etc?
Dat mag, binnen de wettelijke kaders. Zo is het plaatsen van camera’s ook een mogelijkheid en ook daar zijn regels voor. Het lezen van mails ligt daarbij ook gevoelig, omdat een medewerker naast zakelijke mail ook privéberichten kan ontvangen. Daar is zakelijke mail misschien niet voor bedoeld, maar het is soms onontkoombaar. Wanneer je informatie nodig hebt tijdens werktijd en toegang tot webmail geblokkeerd wordt, zul je tot dit middel moeten overgaan.
Nee. Volgen mag in beperkte mate mits men bepaalde spelregels volgt. Arnoud heeft er in eerdere posts al eens wat over gezegd. Het gaat dan om dingen als een duidelijk regelement waarin staat hoe, en wanneer en waarom, en dat regelement moet expliciet onder de aandacht gebracht worden (dus niet stilzwijgend ergens op het Intranet gezet zonder verder iemand te informeren). Verder moet de Ondernemingsraad ermee instemmen. Daarnaast dan nog dingen als je afvragen wanneer het noodzakelijk is, of het proportioneel is, of er ook andere middelen zijn e.d. Ook onder werktijd heeft personeel recht op een zekere mate van privacy (zo mag je best onder werktijd even een loodgieter of je huisarts bellen om een afspraak te maken zonder dat je wordt afgeluisterd). Zomaar zonder duidelijke aanleiding alles wat je personeel doet volgen is dus niet toegestaan. Maar: IANAL, wellicht zal Arnoud nog e.e.a verduidelijken.
Voor mij ook IANAL, maar er zit natuurlijk een groot gat tussen wat jij zegt: ‘ Zomaar zonder duidelijke aanleiding alles wat je personeel doet volgen’ en een specifiek iemand naar aanleiding van een concrete en geloofwaardige verdenking extra goed in de gaten houden (naar ik aanneem met de uitdrukkelijke toestemming van een leidinggevende die alle aspecten goed bekeken heeft).
Ik vind het wat oneerlijk naar de werkgever dat je wegens ergens een formaliteitje een frauderenende werknemer niet zou kunnen aanpakken.
Ja dat is zo, maar ik reageerde op wat jij zei: ” sowieso niet altijd in de gaten houden”. Ik las dat als: mogen ze niet sowieso altijd al het personeel monitoren. Mijn reactie moet je in die context zien.
Dat mag, mits je de balans met de persoonlijke levenssfeer van je werknemers goed houdt. Het hangt dus af van functie en risicoprofiel bijvoorbeeld, maar ook hoe intensief en diepgravend je monitort. Zeg maar het verschil tussen de manager die zegt “een collega zag dat jij een geheim stuk in je tas deed, mogen we even kijken” en iedereen elke dag verplichte tassencontrole bij de portier.
Ik dacht dat een bedrijf dan altijd het meteen op verstoorde arbeidsrelatie gooit en diegene alsnog ontslaat? Met een riante ontslagvergoeding natuurlijk. Dus die vormfout kost effectief alleen het bedrag van die vergoeding.
IANAL, maar ik denk dat er een goede kans is dat de dienstbetrekking van de betreffende meneer zeker op z’n midden loopt ja, misschien zelfs op z’n eind. Maar dat zal dan een nieuwe procedure moeten worden; de rechter was gevraagd uitspraak te doen over de vraag of de aangedragen redenen voldoende waren, en het antwoord daarop is dus nee.
“Users of this system expressly consent to such monitoring” dit kan toch al niet, als werknemer vrijwillig toestemming geven voor wat dan ook?
Nee, inderdaad niet. Ik heb dus het sterke vermoeden dat deze tekst afkomstig is uit Amerika, waar hij geschreven is voor het publiek dat ergens wilde gaan inloggen. En vervolgens denkt iedereen, klinkt stoer en juridisch, dat wil ik ook.
Nog zo’n stoere die je wel eens leest: “…to the fullest extent of the law…”. Dus niet zeg maar lief doen en een waarschuwing geven, oh nee, je hangt meteen.
Die ken ik van een militair oefenterrein:
De gemachtigde is mr. S. Wehl is arbeidsrechtadvocate bij ING Bank. Dus ik onderstreep het vermoeden vooralsnog 🙂