Een lezer vroeg me:
Bij ons geldt ‘krokettenbeleid’: als je je computer niet vergrendelt wanneer je wegloopt, mogen collega’s uit jouw naam een mail sturen dat je kroketten voor iedereen meeneemt. Vorige week opende ik op mijn werkplek een e-mail van de ivf-kliniek waarin stond dat onze laatste behandeling mislukt was. Ik was zo overstuur dat ik huilend naar het toilet ben gerend zonder mijn laptop te vergrendelen. Uiteraard greep iemand zijn kans om een ‘krokettenmail’ te versturen. Mijn manager zegt dat dit gewoon volgens de regels is. Wat kan ik hier aan doen?Ik citeer even deze wat langere vraag omdat het me al eventjes dwars zit maar ik niet kon articuleren hoe: het krokettenbeleid, ook wel vlaaibeleid of taartbeleid. Laat jij je laptop onbeheerd open staan, dan mogen collega’s de afdeling mailen dat jij een traktatie meeneemt.
Ik heb eerder over krokettenbeleid geblogd, en trok toen eerder grenzen bij schadebrengend gedrag zoals iemand zijn ontslag laten nemen. Enkel de mail “ik neem vlaai mee want ik sloot mijn laptop niet af” leek me wat mager. Maar ik denk nu dat ik daar van ga terugkomen: het is invasief, zet iemand nodeloos hard te kakken en kan in situaties als deze ontzettend pijnlijk zijn.
Natuurlijk is het belangrijk dat mensen hun laptop afsluiten, in verband met datalekken of onbevoegde inzage in vertrouwelijke informatie. Maar zullen we de discussie voeren over hoe je als organisatie dat faciliteert, in plaats van hoe je mensen ‘pakt’ die dit niet voor elkaar krijgen?
Bijvoorbeeld: welke training bied je, welke hulpmiddelen geef je ze? Kan die laptop niet detecteren dat je badge of telefoon te ver weg is en dan vanzelf op slot gaan?
Arnoud
Je hebt toch geen training nodig om je laptop te locken?
De laptop laten detecteren als je badge of bedrijfstelefoon weg is wellicht handig als extra, maar zal toch altijd een soort van time-out hebben die groot genoeg zal zijn om de kroketten mail te sturen.
Het locken zelf is triviaal genoeg, de gewoonte aanleren om het élke keer te doen is veel moeilijker.
Windows heeft deze mogelijkheid zelfs al ingebouwd (voor mobiele telefoons). Bij accounts > inlogopties kan je “dynamic lock” inschakelen. Het vereist enkel dat je een telefoon (kan dus ook je werktelefoon zijn) koppelt met bluetooth aan je laptop en voila! Als je altijd je werktelefoon meeneemt als je wegloopt werkt het perfect. Het is bij mij niet verplicht, maar het lijkt mij een prima oplossing die niet altijd zou moeten worden gebruikt door mensen die de optie toevallig hebben gevonden.
Valt dit niet gewoon onder Art. 231b Wetboek van Strafrecht? Hij die opzettelijk en wederrechtelijk identificerende persoonsgegevens, niet zijnde biometrische persoonsgegevens, van een ander gebruikt met het oogmerk om zijn identiteit te verhelen of de identiteit van de ander te verhelen of misbruiken, waardoor uit dat gebruik enig nadeel kan ontstaan, wordt gestraft met een gevangenisstraf van ten hoogste vijf jaren of geldboete van de vijfde categorie.
Andermans email account gebruiken komt neer het gebruiken van de persoonsgegevens van die ander, te weten diens email adres. In casu wordt de identiteit van die ander misbruikt door de suggestie te wekken dat die ander op kroketten zal trakteren. Het nadeel dat daardoor ontstaat is de noodzaak om te betalen voor die kroketten.
Degene die zo’n email verstuurt vanaf andermans email account mag dus 5 jaar brommen of een boete van een ton betalen. Dat worden dan heel dure kroketten.
De manager gaat overigens niet vrijuit: door het standpunt in te nemen dat de houder van het email account de beweerdelijk door die houder aangegane verplichting moet nakomen (omdat die manager dat wenselijk vindt om ervoor te zorgen dat iedereen die zijn laptop verlaat die laptop ook afsluit) misbruikt de manager zijn gezag, en lokt hij dit misbruik van persoonsgegevens uit. Daardoor maakt ook de manager zichzelf tot dader en mag ook de manager 5 jaar brommen of een ton betalen.
Het argument is dat de wederrechtelijkheid ontbreekt omdat dit beleid van de werkgever is (dus er is een ‘recht’) en de apparatuur eigendom werkgever is. Je kunt niet inbreken op je eigen computer, ook niet als je dat met werknemer A doet terwijl de werkinstructie is dat werknemer B er mee werkt.
De laptop is misschien wel van de baas (tenzij in geval van BYOD), maar de persoonsgegevens niet: het email account jan.jansen@werkgever.nl is een persoonsgegeven van Jan Jansen, niet van de werkgever. Dus als Jan Jansen niet OK is met de kroketten-email die vanaf dat account is verzonden, is de email wel degelijk wederrechtelijk.
Nu stappen we van strafrecht naar bestuursrecht. Deze verwerking van persoonsgegevens past voor mij binnen de gewone uitvoering van het werk, zodat de werkgever dit via gerechtvaardigd belang mag doen. Toestemming van de werknemer is nooit nodig voor gebruik van diens persoonsgegevens, sterker nog de werknemer kán geen toestemming geven omdat vanwege de afhankelijkheidsrelatie de vrije wil ontbreekt.
De onrechtmatigheid in juridische zin van een krokettenmail is mij nog niet helemaal duidelijk, zeker niet als deze steunt op expliciet beleid van de werkgever. Het is onethisch en getuigt van geen goed werkgeverschap, maar dat vind ik niet genoeg om van “onwettig” in de zin van artikel 5 lid 1 AVG te spreken.
Maar de werkgever krijgt de belangenafweging dan toch nooit rond? De privacynadelen voor de werknemer zijn levensgroot als een gesignaleerde overtreding van de werkinstructies, en een daarvoor opgelegde ‘boete’, met naam en toenaam met de hele afdeling gedeeld wordt.
Dergelijk beleid stimuleert ‘bullying’. De werkgever kan niet met droge ogen beweren dat dat zijn gewenste beleid is.
Kan onethisch, en van slecht werkgeverschap getuigend, ‘beleid’ uberhaupt wel een basis zijn om rechtmatigheid te betogen? Volgens mij niet. Als de werkgever bijvoorbeeld als beleid heeft om potentiele klanten rijkelijk te voorzien van cocaine kan de werknemer zich daar ook niet achter verschuilen.
Ik kan me héél moeilijk voorstellen dat er bedrijven zijn waar dit formeel het beleid is en waar het expliciet is toegestaan elkaars account te gebruiken (weliswaar in dit geval zonder de inloggegevens te delen). Maakt dat het binnen afdelingen wellicht gemeengoed is (of informeel beleid al dan niet in tegenstelling tot het formele beleid), dat het rechtmatig is?
Een bestendige bedrijfscultuur is eigenlijk hetzelfde als formeel beleid. In gevallen waarin het beleid A zegt (bv. zero tolerance tegen diefstal) maar de praktijk B is (iedereen neemt wc-rollen mee als het vakantietijd wordt) dan kun je iemand niet ontslaan wegens overtreding beleid.
Bedoel je hier niet gewoon identiteitsfraude?
Jaren geleden heeft een collega ook eens zo’n mail gestuurd toen ik mijn computer niet gelocked had. De CISO (die die mail ook gekregen had) heeft toen geprobeerd te achterhalen wie die mail gestuurd had. hij heeft er later ook een organisatiebrede mail aan gewijd, met als strekking dat het computervredebreuk is en dat als je een laptop niet gelocked ziet staan, je die laptop lockt en de persoon er naderhand op wijst, maar geen mails gaat sturen of andere zaken gaat doen.
Je zou ook kunnen stellen dat het ‘computervredebreuk’ is wanneer een ander zonder toestemming jouw laptop gaat gebruiken…
We zitten in een werksituatie, waarin iedereen als handje van de werkgever opereert. Dan is er niet “een ander” die binnendringt, het is nog steeds de werkgever die zijn gereedschappen gebruikt. Of je nu met je linkerhand of met je rechterhand typt maakt ook niet uit, toch?
Wel misschien is het niet zo zwart/wit als je zegt. Ik gebruik gereedschap van het bedrijf maar de laptop/pc gebruik hebben wij voor moeten tekenen dat wij deze netjes en veilig gebruiken en dat wij alleen mogen werken op die specifieke laptop/pc en alleen met onze eigen credentials. Het moment dat iemand anders op mijn laptop/pc gaat werken onder mijn gegevens dan zou het computervredebreuk kunnen zijn aangezien die persoon niet gemachtigd was.
Ik heb gewerkt bij een bedrijf met BYOD. Die laptop werd wel gebruikt voor werk, maar was toch echt mijn prive eigendom.
Ik zou zeggen dat het dan wel degelijk computervredebreuk is.
Dat soort procedures zijn verstandig in het kader van goed informatiebeleid, maar het verandert niets aan de strafrechtelijke situatie.
Maar tegelijkertijd heb jij de laptop niet veilig gebruikt door deze onbeheerd achter te laten. Dus dit kan wel eens backfiren.
In de strafrechtcontext is “hij had zijn fiets niet op slot gezet/voordeur open laten staan” géén excuus voor diefstal. (Wel voor de verzwarende omstandigheid van diefstal na braak.)
Het maakt toch wel verschil of je laptop open staat tijdens werktijd op een afdeling waar verder alleen collega’s zijn of aan het einde van de dag als daarna ( bijvoorbeeld) een schoonmaakploeg binnenkomt.
Inderdaad, dat lijkt mij ook. Als de werknemers toch allemaal maar handjes van de werkgever zijn, dan is er, uitzonderingen daargelaten, ook niet echt een reden om de laptop te locken.
En waarom zou de werknemer dan gebonden zijn aan een krokettentoezegging gedaan van ‘zijn/haar’ account? Het is helemaal niet zijn/haar account, het is het account van de werkgever dat actief is op een een computer van de werkgever.
Lijkt me wel. Je hebt niet voor niets functiescheiding, toch? Niet alle ‘handjes’ hebben dezelfde rechten.
Je kunt wel degelijk datalekken krijgen in de zin van de AVG, of verlies van bedrijfsgeheimen door onbevoegde inzage. Dat staat los van of strafrechtelijk er iemand wat te verwijten valt.
Er inderdaad de mogelijkheid dat er iets gelekt wordt, en natuurlijk hebben niet alle handjes gelijke rechten, maar als ze tijdens werktijd over elkaars schouder kunnen meekijken en elkaars gesprekken horen, is een stricte policy ‘altijd computer locken’ wel enorme overkill, lijkt me.
‘altijd computer locken’ is dan 1 van tien of twintig maatregelen die je neemt, die op zichzelf in theorie een grote impact zou kunnen hebben, maar dat in de praktijk waarschijnlijk niet heeft.
Vooral als zo’n “strikt computer locken” beleid gecombineerd wordt met een wachtwoordbeleid waar de wachtwoorden onnodig complex en lang worden en te vaak moeten worden gewijzigd.
Dan raken mensen gefrustreerd omdat ze elke keer bij unlocken weer dat wachtwoord in moeten typen wat veel te lang is en wat anders moet zijn dan de vorige 4 wachtwoorden. Doe je dat een paar keer op een dag, geen probleem, maar wel wanneer het elke 5 minuten moet omdat je op en neer naar de WC, naar de koffiemachine en naar de printer loopt.
Met zulke collega’s heb je geen vijanden nodig. Er zat blijkbaar ook niet een goede collega naast die zei “ze is net huilend weggelopen, doe maar even niet” ?
Met zo’n bedrijfscultuur zou ik persoonlijke e-mails in ieder geval enkel op mijn telefoon lezen en niet op de bedrijfscomputer.
Zijn er ook nog sancties vanuit je werkgever als je geen kroketten meneemt? Voor je collega’s hoef je het niet te doen, die haten je blijkbaar toch als ze hier een probleem van maken.
Wat ik niet lees is dat de collega de email van de ivf-kliniek heeft ingezien. Dat is dan nog een geluk bij een ongeluk.
Nu, helemaal vrijpleiten wil ik de vraagsteller ook niet. Die heeft (en dat hoort niet (en misschien mag het zelfs wel niet van de werkgever)) een prive-mail geopend tijdens werktijd.
Hoe begrijpelijk de reactie van de vraagsteller ook is op zulk slecht nieuws, door dat te doen heeft die persoon wel bewust risico genomen op een verminderd nadenkvermogen door een (positieve of negatieve) emotionele toestand na het lezen van prive-mails. Dat dat risico nu werkelijkheid is geworden kun je de collega of de werkgever niet echt verwijten.
De collega wordt nu door de meesten hier als een schoft gezien, maar die wist (waarschijnlijk/mogelijk) niets af van het verdriet van de vraagsteller. De collega volgde gewoon de gebruiken/instructies in dat bedrijf, waarschijnlijk zonder kwaads in de zin. De evaluatie van zijn/haar actie wordt niet anders door de emotionele toestand van de vraagsteller.
Mijn doel van de publicatie was niet om mensen neer te zetten als schoften of om aan victim blaming te doen. Ik wil illustreren waarom dergelijk beleid heel pijnlijk uit kan pakken en dat een goed werkgever dit dus niet meer doet.
Persoonlijk snap ik heel goed dat je niet tot 5 uur wacht om zó iets belangrijks te lezen. Vroegâh zou je zijn gebeld onder werktijd, misschien wel op je zakelijke telefoon omdat je dat bij de intake had opgeschreven. Had je dan ook gezegd “bewust risico genomen door de telefoon op te nemen”?
Vroegah, toen je nog jaren bij hetzelfde bedrijf werkte, en je ook een band met je collega’s opbouwde, was het heel normaal om dit soort “pranks” op elkaar te doen, en tilde niemand er zwaar aan.
Maar logischerwijs, zouden de collega’s ook meegeleefd hebben met deze persoon en zou zoiets pijnlijks niet gebeurd zijn.
Tegenwoordig is de bedrijfscultuur niet meer zo. Dus zulk “kroketten” beleid is ook niet meer van deze tijd.
Het verbaast me ook dat het “beleid” is, dat komt totaal niet overeen met hoe dit vroeger gebeurde. Ouderwetse manager die zich dit van vroeger herinnerde, maar het niet echt snapt, omdat ie een manager is?
Ja, ik snap ook wel waarom je op die email zit te wachten en hem opendoet onder werktijd.
Dus uit menselijk oogpunt heel begrijpelijk. Ik wilde ook niemand blamen, maar gewoon benadrukken dat dingen soms lopen zoals ze lopen door een opeenvolging van logische stappen (logisch, althans, in de optiek van degene die de stappen neemt (die misschien niet over alle info beschikt.))
In het beleid moet je ook diverse onderdelen onderscheiden. Welk onderdeel van het beleid staat je tegen? Dat iemand die iets doet wat niet mag een ludieke berisping krijgt? Dat er geen ruimte voor nuance is? Dat het de collega’s zijn die die berisping mogen uitdelen? Dat de collega’s een vrijbrief krijgen om in iemands laptop te gaan?
Voor mij is het eerste acceptabel, het tweede en vierde niet, het derde is een twijfelgeval.
Ik heb gelukkig nergens meegemaakt dat je geen privé mail mag lezen tijdens werktijd. Maar ik heb niet zo veel werkgevers gehad. Zijn er echt bedrijven waar dit verboden is?
Ik weet niet of er bedrijven zijn waar het niet mag, maar ik kan het me goed voorstellen. Er zitten immers allerlei nadelen aan voor de werkgever:
Verloren werktijd
Verslapte aandacht (vooral relevant voor veiligheidskritische activiteiten, maar niet alleen dat, zoals de huidige casus illustreert. Je wilt toch niet dat een luchtverkeersleider afgeleid wordt door een emotioneel prive-bericht?)
Persoonsgegevens komen op de systemen van de werkgever terecht terwijl die dat niet wil.
Ongewenste inhoud komt het bedrijf binnen en wordt opgeslagen op bedrijfsystemen (politieke controverse, porno, discriminatie etc)
Veiligheid bedrijfsnetwerk: wie weet wat voor virussen je binnenhaalt als iemand zijn prive email downloadt?
Verhoogd risico op versturen van een bericht vanaf verkeerd account, met verwarring bij de ontvanger(klant!) tot gevolg (zowel zakelijke berichten vanaf prive-account als andersom zijn natuurlijk onwenselijk)
Uiteraard las ik alleen privé mail op het werk via de web interface van mijn mail hosting.
Geen privé mail op mijn werk e-mail adres, en ook niet Outlook van het werk een extra account geven voor privé. Dat spreekt voor mij zo vanzelf dat ik me steeds verbaas dat mensen dat niet doen.
Op mijn werk is het niet mogelijk om vanaf het bedrijfsnetwerk contact te maken met externe e-maildiensten (zoals gmail of hotmail) omdat dat geblokkeerd is in de proxy.
Als ik mijn privé-mail wil lezen moet ik dat op mijn eigen telefoon via de dataverbinding doen.
Maar gegeven de situatie kan het zelfs zo zijn dat je de email wel moet lezen omdat deze persoon op basis van de email tijdens werktijd nog actie moet ondernemen.
Als het bijvoorbeeld het bericht is dat een ingevroren embryo dat die middag teruggeplaatst zou worden niet goed ontdooit is, dan moet de werknemer wel weten dat deze doktersafspraak afgezegd is (en nee; die doktersafspraken kun je niet buiten werktijd plannen omdat ze ook afhankelijk zijn van de menstruatiecyclus; een dag later kan dus niet).
Nog los van of het ethisch verantwoord is om privé-mail te lezen tijdens werktijd is het soms zo dat het noodzakelijk is om dat te doen om bijvoorbeeld medische redenen.
En dan zorgt dit beleid van de werkgever er trouwens ook nog eens voor dat er een verhoogde kans is dat deze mail met uiterst gevoelige informatie door een collega gelezen wordt. Moet de werkgever zich dan niet juist verantwoorden voor zo’n datalek?
Technische middelen om dit af te dwingen zijn extreem onpopulair, als je lock timers gaat implementeren gaan mensen software of hardware inzetten om muisbeweging te simuleren. Een badge of telefoon laten ze gewoon op het bureau liggen. En als de “leuke” sancties zoals het krokettenbeleid niet mogen dan blijven alleen officiële sancties over: “als je je laptop ongelockt achterlaat krijg je een aantekening in je personeelsdossier”.
En dat zorgt niet alleen voor een verstoorde werkrelatie, het is ook nog eens op zichzelf niet genoeg grondslag om op het matje geroepen te worden bij HR.
Alleen als je duidelijk gegevens hebt die de veiligheid van klanten of werknemers in gevaar kunnen brengen, of bedrijfsgeheimen die kunnen worden buitgemaakt, dan valt er een juridisch punt te maken over het lock-beleid. Maar als je met dat soort informatie werkt mag ik hopen dat je zelf ook het verantwoordelijkheidsgevoel hebt om dat om te beginnen al te doen.
In plaats van een schaam cultuur ervan te maken zoals krokketten, vlaai of gebak beleid. Waarom niet gewoon als je ziet een onbeheerde laptop/pc ziet die niet gelocked is even locken voor die persoon en deze erop attenderen dat dit gebeurd is, gewoon door te zeggen zag dat je wegwas heb je laptop/pc gelocked voor je.
Het is mij niet duidelijk uit de vraag of de lezer volgens dat beleid die kroketten ook echt moet meenemen. Dat zou neerkomen op een boete, wat arbeidsrechtelijk natuurlijk niet kan.
Bij ons worden niet-gelockte laptops ook regelmatig misbruikt voor grappig bedoelde Slack berichten, bijvoorbeeld dat het slachtoffer gaat trakteren. Maar dat gebeurt nooit echt. (Trakteren wel, maar niet als gevolg van zo’n bericht.)
Dit wordt afgedwongen door sociale controle vanuit collega’s. Je krijgt een berg kritiek over je heen dat je geen teamspeler bent, dat je niet eerlijk je verlies kunt nemen en dat je hartstikke flauw bent door niet gewoon kroketten mee te nemen. Ik ken geen situaties waarin werkgevers dit afdwingen op straffe van arbeidsrechtelijke consequenties.
Het “Krokettenbeleid” zou ik per direct negeren en dus mijn computer nooit locken uit protest. Maar als een collega dan vervolgens namens mij een email gaat versturen dan meld ik dat bij HR wegens een schending van mijn privacy! Die collega gaat daar zeker spijt van krijgen, want dat wordt een stevige klacht!
Maar een collega die gewoon de computer voor mij lockt, prima! Dat is goed teamwerk.
Maar even voor de duidelijkheid: collega’s moeten elkaars systemen gewoon respecteren en niet stiekem gaan prutsen op andermans systeem. Dat doe je gewoon niet! Blijf van andermans spullen af!
Binnen de organisatie kun je rustig afspreken dat iedereen de boel in de gaten houdt. Als ik even weg ben van mijn computer dan kunnen mijn collega’s wel even in de gaten houden dat er niemand iets mee gaat proberen. Want een collega die vanaf mijn computer een emailtje gaat versturen kan deze ook gewoon oppakken en meenemen en daarnaast ook mijn spullen jatten die erbij ligt.
Welk nut heeft een lock eigenlijk als een collega gewoon de laptop kan optillen en meenemen? 🙂
Euh, google eens op “kensington lock” Wim? Je zal op elke laptop een klein (van binnen zwaar verstevigd) gaatje vinden waar die in kan.
Ik ken geen enkele serieuze organisatie waar je je laptop of computer niet ook fysiek dient vast te leggen.
“Welk nut heeft een lock eigenlijk als een collega gewoon de laptop kan optillen en meenemen? ?”
Het gaat niet om diefstal van de hardware maar om toegang tot de autorisaties die jij via je account hebt.
Ik zou bijvoorbeeld een dossier kunnen inzien waar ik geen recht op heb. Of ik zou een opdracht kunnen geven waar ik niet voor gemachtigd ben.
Mits de laptop versleuteld is met Bitlocker of dergelijke kun je niet bij de data op de laptop als je hem gelockt meeneemt. Vaak is die data meer waard dan het apparaat.
“Laat jij je laptop onbeheerd open staan, dan mogen collega’s de afdeling mailen dat jij een traktatie meeneemt.”
In een snelle-jongs-omgeving kan ik me dat nog voorstellen, maar een beetje diversiteitsbeleid mag ieder bedrijf toch doorvoeren. Zum kotzen!
“Natuurlijk is het belangrijk dat mensen hun laptop afsluiten, in verband met datalekken of onbevoegde inzage in vertrouwelijke informatie”
Doorgeschoten beleid. Je gaat toch ook vertrouwelijk met de werkinformatie van je collega’s om.