Mijn manager wil de WhatsApp-logs van mijn zakelijke gesprekken, moet ik dat doen?

Een lezer vroeg me:

Op mijn werk (ICT servicebedrijf) gebruiken we WhatsApp om met collega’s te overleggen, en ook wel om met klanten dingen te bespreken. Denk aan foto’s van problemen, overleg over werk bij de klant, afstemmen datums, dat soort dingen. Nu heeft onze manager bedacht dat we de logs van deze gesprekken centraal moeten bewaren “om te bewijzen wat er afgesproken is” en of we dus WhatsApp logging willen instellen op de bedrijfsclouddienst. Is dat legaal?
Mijn eerste vraag zou zijn: gaat het hier om WhatsApp op de eigen (privé) telefoon, of op het gebruik van deze chatdienst op een zakelijke telefoon? Dat maakt nogal uit, omdat de kern van het probleem hem zit in de scheiding tussen werkgesprekken en privéchats.

Ik zie op het eerste gezicht weinig bezwaren tegen het loggen van zakelijke gesprekken met klanten (of overleg tussen collega’s) zodat het later teruggelezen kan worden. Het kan geschillen voorkomen, of ze in ieder geval makkelijker uit te praten maken. Afspraken staan meteen genoteerd en ga zo maar door.

Natuurlijk heb je ook privacy op het werk, maar uitgaande van een werkrelatie met de klant (en met collega’s) lijkt me dat hier geen belang dat zwaar onder druk komt te staan bij zo’n logging. Wel moeten er natuurlijk goede afspraken zijn over wie bij de logs kan en wanneer. Het maakt nogal uit of de collega dat doet als de klant klaagt dat er iets niet conform afspraak is gedaan, of dat de lijnmanager dat samen met HR doet als er een arbeidsconflict gevonden moet worden om van de vraagsteller af te komen.

Om dat goed te regelen, heb je een privacyreglement nodig, of een ICT-reglement. En bij organisaties met een OR moet die het vooraf goedkeuren. Bij een kleinere organisatie is duidelijkheid geven over wat je logt en waarom de sleutel.

Dit gaat allemaal uit van zakelijke telefoons waarbij je WhatsApp moest installeren als deel van het werk. De kans is groot dat we hier te maken hebben met de situatie waarin mensen op hun eigen telefoon chatten met klanten of collega’s, en dat dáár de manager ineens logs van wil hebben.

Die vind ik spannender, met name omdat je bij WhatsApp logs aan of uit kunt zetten maar niet per gesprekspartner instelbaar. Dan zouden dus álle logs, ook die met je partner of met de tandarts, centraal opgeslagen worden. En dat is natuurlijk een onoplosbaar probleem.

Arnoud

18 reacties

  1. En dat is natuurlijk een onoplosbaar probleem.

    Daar is al lang een oplossing voor: de werkgever verschaft een telefoon.

    Ik heb jaren met een telefoon op zak en een telefoon in de tas gelopen. Die wisselde ik begin en einde werkdag. Precies om dit probleem te voorkopen. Als de werkgever wil bepalen wat je met de telefoon doet, dan zorgt hij ook maar dat je opmzijn kosten een werk telefoon krijgt.

        1. Ikzelf app nog met het zakelijk nummer omdat dat het makkelijkste was toen ik de telefoon kreeg maar inmidels is er whatsapp for business en kan je dus twee verschillende whatsapps op je telefoon zetten en Whatsapp for business koppelen aan je zakelijke nummer en de reguliere Whatsapp koppelen aan je persoonlijk nummer. Dit is echter niet zo bekend bij veel mensen en die proppen (net als ik) alle Whatsapp op 1 nummer.

        2. Er zijn ook oplossingen die je telefoon partitioneren in een zakelijk en privé-gedeelte, waarbij apps op één gedeelte geinstalleerd kunnen worden, en er geen data-uitwisseling tussen de twee kan plaatsvinden. Zie bijv. Microsoft InTune.

          Je kunt dan apps zowel in de ene omgeving als in de andere omgeving installeren, als ware het twee devices. Ik weet niet of het specifiek met Whatsapp werkt, maar in principe zou dat wel moeten kunnen.

  2. Een andere vraag is of de logging ook gesprekken met terugwerkende kracht gaat loggen. Want als ik in de gesprekken, waarin ik me onbespied waande, wel eens grappen heb gemaakt over de toupet van de manager, dan wil ik niet dat deze plots de centrale log ingaan.

    1. Goeie vraag, gezien het geschatte niveau van de IT-beheersomgeving denk ik van wel. Maar althans in theorie gaat dat goed: de AVG verbiedt namelijk spitten in zulke logs om slecht werknemerschap op te sporen, als je de logs hebt vastgelegd met als doel het registreren van afspraken met klanten en relaties. Wil je ook mensen kunnen aanspreken, dan moet je a) dat in een reglement hebben verwerkt en b) de OR instemming hebben laten geven.

      1. Dan krijg je toch het standaard verhaal? Werkgever spit in de logs, trekt iets buiten de context en ontslaat de werknemer. De rechter zegt ‘dat mocht niet, dus geen geldige reden voor ontslag, maar… de arbeirdsrelatie is nu verstoord. ‘ Dagdag medewerker

        1. Eh nee, de rechter zegt dan “terugnemen die persoon, hier een dwangsom van 1000 euro per dag dat je ‘m niet terugneemt”. Eenzijdig een conflict creëren en dan roepen dat de relatie verstoord is, is al lang doorgeprikt in het arbeidsrecht. Dat kost je een bak met geld maar je zult ‘m terugnemen. Zie bijvoorbeeld dit vonnis waarin de Rabobank het conflict creëerde maar de deksel op de neus kreeg.

          De lat ligt in zoverre hoog dat het criterium is of de werkgever doelbewust op het verstoren van de relatie heeft aangestuurd. Als dat niet zo is, dus wel schuld werkgever maar geen opzet, dan kan ontbinden wel. Ik verwacht wel dat je dan een hele grote zak geld meekrijgt.

  3. Maar wat jij doet willen de meeste werknemers niet. Hier kan iedereen een managed smartphone met een unlimited abonnement krijgen, en sinds Covid is dit bijna verplicht. Zo’n 50% maakt daar ook gebruik van voor zowel werk als privé. Jouw systeem wordt door slecht 1 idioot gedaan (*steekt hand op). Een paar man loopt rond met een dual-sim oplossing. Een paar zzp-ers kiezen ervoor eigen hardware en abbo te gebruiken. De rest haalt de simkaart uit de werkphone en doet die in een eigen coolere smartphone en de werkphone verdwijnt voor 4 jaar in een bureaula.

  4. In de financiële sector heb je bijvoorbeeld ook compliance-eisen vanuit de toezichthouder waarbij de IT-afdeling alle email centraal logt in een systeem waarvan men min of meer kan garanderen dat er geen email uit verwijderd kan worden. Of het nou gaat over de Libor rente die je even een dagje op frauduleuze wijze wat wil aanpassen, of dat je aan je collega’s vraagt voor wie je bij de lokale broodjeszaak een broodje moet meenemen op vrijdagmiddag. Ook bij de overheid is dit standaardpraktijk* ivm de Archiefwet*\ en de WOB (of nu WOO).

    Ik denk dat het op zich weinig uitmaakt om welk medium het gaat. Als je een dergelijk beleid voor email hebt, waarom dan niet ook voor andere geschreven mediums (sp, media?)?

    Uiteraard zou je kunnen zeggen dat een verschil is dat de email via de zakelijke server gaat, en whatsapp via de (prive)telefoon. Maar als het daar op stuk loopt moet je denk ik als werkgever in ieder geval een zakelijke telefoon aanbieden. Je werknemer kan dan kiezen: ofwel alle zakelijke communicatie uitsluitend via de zakelijke telefoon, of accepteren dat de werkgever soms ook priveactiviteiten logt (mits, zoals inderdaad aangegeven, goed ingekaderd)

    ** Alleen Von der Leyen snapt dit niet.

  5. Ik heb over het algemeen, en ook in dit geval, problemen met ‘alles loggen omdat er theoretische scenario’s zijn waarin het nuttig zou kunnen zijn’

    Als het gaat om echt eerlijk bijhouden van afspraken met klanten en collega’s, heen en weer, dan zou je de discipline moeten hebben om dat op dat moment als zodanig te markeren en alleen dat deel op te slaan (of, natuurlijk, als werkgever instructie geven om dat te doen). Dat moet je toch al doen, want je moet immers te factureren activiteiten voor de klant identificeren, anders kan er geen factuur gemaakt worden.

    Als je alles moet opslaan omdat het ooit wel eens handig zou kunnen zijn als bewijs in een nog niet bestaand conflict, dan doe je eigenlijk al iets niet juist,namelijk een conflict voorkomen door het goed documenteren van offertes/opdrachten/uitgevoerde activiteiten (al dan niet betaald).

    En deze post gaat over de privacy van de werknemer. Maar hoe zit het met de privacy van de medewerkers van de klanten/leveranciers? Wordt daar wel bij stilgestaan? Weten die wel dat hun privacygevoelige gegevens gelogd worden? Ga je die inzage geven in wat je over hen bijhoudt?

    1. Met welk aspect voorzie jij de meeste problemen? De technische security zit wel snor, er is een verwerkersovereenkomst bij Whatsapp for business, logging dus afspraken over maken, het is voor het werk dus de grondslag lukt ook wel, van privéchats blijf je af (zal de OR ook eisen). De export naar de VS? Omdat het e2e encrypted transport is, denk ik dat dit wel mee zal vallen?

      1. Verwerking in de VS (wat al een probleem is als dat slechts ‘metadata’ betreft – zie ook de zich rap ontwikkelende jurisprudentie in omringende landen), onwilligheid van WhatsApp louter een Verwerkersrol te accepteren, beperkte onderhandelruimte over logging (naar ik begreep redelijk alles of niets, waarbij niets niet past bij archiefwet- en Woo-verplichtingen en alles snel een medewerkervolgsysteem oplevert). Over hoe het nu zit met koppelingen met de verschillende andere Meta-producten weet ik te weinig, maar dat was eerder ook een issue.

        Zelf vind ik daarnaast belangrijk: waarom zou je in zee willen met zo’n bewezen boevenpartij? Zeker als er wel degelijk sympathiekere alternatieven bestaan en het gebruikelijke argument tegen die alternatieven hier niet opgaat: gebrekkige penetratiegraad van het kanaal bij het publiek/je klanten is geen issue als het alleen om interne communicatie gaat en je de tool zelf aan je werknemers aanbiedt.

        1. Zelf vind ik daarnaast belangrijk: waarom zou je in zee willen met zo’n bewezen boevenpartij? Zeker als er wel degelijk sympathiekere alternatieven bestaan en het gebruikelijke argument tegen die alternatieven hier niet opgaat: gebrekkige penetratiegraad van het kanaal bij het publiek/je klanten is geen issue als het alleen om interne communicatie gaat en je de tool zelf aan je werknemers aanbiedt.

          Voor interne communicatie kan je natuurlijk wel iets anders gebruiken. Maar als er een tool is die je de hele dag al open hebt staan omdat je familie, vrienden, en klanten het gebruiken, en je er ook collega’s in hebt staan om zo af en toe ook iets buiten het werk om te bespreken (“wie komt er naar mijn verjaardag?”) dan ligt de lat natuurlijk wel heel erg laag om ook intern maar die tool te gebruiken.

          Kijk je daarnaast naar alternatieven als Signal en Threema, dan zijn die allebei net niet zo gebruiksvriendelijk als Whatsapp (hoe graag ik ook zou willen…). Dan blijft toch over dat Whatsapp het netwerkeffect heeft en dat middels een gebrek aan interoperabiliteit ook kan vasthouden. In dat op zicht hebben zij een monopoliepositie. Hoeveel chatapps er ook zijn, er is er maar eentje die dat netwerkeffect (in Nederland) heeft.

          Wat dat betreft gaat de Digital Markets Act (DMA) van de Europese Unie dit hopelijk verbetreren. Die gaat – zo begrijp ik – waarschijnlijk interoperabiliteit voor dit soort diensten afdwingen. Op die manier ontstaat er denk ik een heel nieuwe markt waarbij kleinere spelers producten kunnen maken die die logging wel goed doen, terwijl je tegelijkertijd gewoon met je klanten via whatsapp kan chatten.

  6. Ik denk dat het niet meer passend is dat bedrijven mensen verplichten om Whatsapp te installeren nu er Whatsapp for business is. Bedrijven moetenrichtlijnen snel aanpassen want ook in de juridisering van arbeidsverhoudingen zal het snel niet meer acceptabel zijn voor werkgevers om gebruik van gewone whatsapp door werknemers te eisen terwijl er een alternatief voor bedrijven is.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.