Een lezer vroeg me:
Mijn werkgever is druk bezig met het implementeren van AI en het trainen van AI modellen. Hij kijkt daarbij sterk naar wat anderen doen, en heeft daarbij dit artikel gelezen over toetsaanslagen van personeel gebruiken om AI scherper te laten werken. Kunnen wij als werknemers daar bezwaar tegen maken? En hoe komen we er überhaupt achter of hij dit doet?Uit het bronartikel blijkt dat het gaat om een manier om AI agents beter te laten werken: “het doel van de tool [is] om de AI-modellen van Meta te trainen om de computer te gebruiken op de manier waarop mensen dat doen, zoals het kiezen uit dropdown menus en het gebruik van keyboard shortcuts.” Als je breed registreert hoe mensen werken, kun je een AI dat beter aanleren, is de gedachte.
Het bijhouden van toetsaanslagen voelt als nogal een inbreuk op je privacy: je werkgever krijgt buitengewoon gedetailleerde informatie over wat je precies doet, op de seconde nauwkeurig. Het tegenargument hier is natuurlijk “daar kijkt geen mens naar, we trainen alleen een AI model op een hele berg data”.
Het vervelende is: dat is juridisch nauwelijks te weerleggen, in ieder geval niet op voorhand. Er moet grof gezegd iets misgaan voordat je actie kunt ondernemen. Als je organisatie een OR heeft, is er nog een preventief haakje: “een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen” valt onder het instemmingsrecht van de OR. Ook als het doel niet direct raakt aan privacy of aan beoordelen of volgen van mensen.
Bij verwerkingen van persoonsgegevens op grond van gerechtvaardigd belang (wat hier de grondslag moet zijn) kun je altijd bezwaar maken (artikel 21 lid 1 AVG). Het enige is dat je dan “met zijn specifieke situatie verband houdende redenen” oftewel persoonlijke en enigszins zwaarwegende redenen moet aandragen. Het abstracte “dit raakt mijn privésfeer” of “ik ben bang voor misbruik” is niet genoeg.
Arnoud
Dit is dus gewoon een keykogger. Het is natuurlijk wachten totdat er een keer gehackt wordt, want ook 2fa door middel van een code helpt in dit geval niet. Een toon dan als werknemer maar aan dat je niet nalatig bent geweest
Klein detail, maar 2FA met een code is op zich robuust tegen keyloggers, omdat deze codes in de regel One Time Passwords zijn.
De keykogger weet de code al voordat jijzelf op enter kan drukken om in te loggen
Eén heel simpel argument is dat ik m’n werk niet kan doen omdat ik nergens op in kan loggen. Al m’n wachtwoorden worden op deze manier namelijk vastgelegd en inzichtelijk. Daarnaast heb je op de werkvloer volgens mij ook recht op privacy voor o.a. email. Ik zou op deze manier niet zomaar meer een vertrouwelijke mail kunnen sturen naar HR over m’n leidinggevende of naar de Arbo-arts over de redenen waarom ik langdurig uitgevallen ben, om maar wat dingen te noemen.
Tenzij je de logfunctie zelf kan pauzeren natuurlijk, maar ik betwijfel of dat mogelijk is.
De werkgever zegt toch dat dit veilig genoeg is? Geen mens kijkt naar de data, dat is geborgd.
Leuk, maar werkgever heeft er belang bij om deze discussie de kop in te drukken. Data wordt gelogd en ergens opgeslagen (want het moet ingelezen worden), en dan kunnen daar mensen bij. Als dat iemand is met wie ik een conflict heb, of ik krijg later een arbeidsconflict met m’n werkgever, wil ik niet dat er een exacte log is van alles wat ik met iedereen gecommuniceerd heb, en van m’n wachtwoorden van alle systemen waar ik bij kan.
“Er moet grof gezegd ies misgaan voor je actie kunt ondernemen”. Is dat voor jouw specifieke situatie of is het genoeg als er ergens anders met een soortgelijk systeem iets is mis gegaan?
Dat laatste kan, maar is zwakker. Welk voorbeeld in Europa ken jij waarbij werkgevers keyloggers installeerden voor een op zich legitiem doel, maar waarbij het achteraf toch misging, en op welke manier?
De uitspraak van het Duitse Bundesarbeitsgericht (BAG) op 27 juli 2017 (zaaknummer 2 AZR 681/16) gaat over privacy op de werkvloer. De kern van deze uitspraak is dat het stiekem gebruik van keyloggers door werkgevers om werknemers te monitoren onrechtmatig is, tenzij er sprake is van een ernstig strafbaar feit of missstand. Details: Werkgever vermoedde ‘dagdieverij’ van werknemer en zette daarom stiekem een keylogger in bij deze specifieke werknemer. Hoewel de keylogger dit inderdaad aantoonde, oordeelde het hof dat de bewijsvoering onrechtmatig was verkregen vanwege de inbreuk op de privacy.
Goed, maar het doel is hier evident niet stiekem werknemers monitoren. Duidelijk is aangegeven dat het loggen alleen gebeurt om AI-modellen bij te trainen. Dan kun je niet zeggen “stiekem is het tóch monitoren” zonder aanvullend bewijs of aanwijzingen dat er méér gebeurt dan AI-modellen trainen.
Ik zie toch een behoorlijk probleem afhankelijk van het werk. Hoe gaat het om met privé informatie die in de pause getiept wordt. Wat als de werknemer met gegevens van anderen werkt (klanten, leveranciers)? Zowieso niet echt makkelijk.
Het wordt alleen gebruikt om AI te trainen dus er zijn geen privacy zorgen.
Dat is nu eenmaal de juridische fictie en je moet “bewijzen” dat het niet zo is anders heb je geen poot om op te staan. Soortgelijk verhaal als waarom er nog steeds data in de amerikaanse cloud mag worden opgeslagen.
Wonderlijk in deze is dat je dit soort zaken hard nodig hebt om processen te begrijpen en daarna ook te verbeteren. Zonder te weten wat er gebeurt blijf je iets doen in het duister, meten is weten.
Het is de basis van wetenschappelijk management zoals dat met Fayol en Taylor begon. Het is de werkwijze hoe sociale systemen levend gehouden worden.
Heel erg doordravend: als er geen regels en wetten meer nodig zijn omdat een ieder anders gevolgd kan worden omdat de regels en wetten overtreden worden dan wel aangetoond wordt dat ze niet correct zijn, wat moeten we dan met juristen?
Ik lach mij rot om die opmerking, want hier snapt iemand niet wat AI doet met deze data. Niemand hoeft te kijken naar de ruwe data omdat de AI dat gaat doen. En de AI gaat daaruit specifieke gegevens extrapoleren. Of zoiets. De AI kan dan patronen herkennen in deze data, waaronder gebruikersnamen, wachtwoorden en natuurlijk emails. Inclusief prive-mails. De AI kan dan zien dat b.v. Arnoud het wachtwoord “ABC123” nog steeds gebruikt. En dat Wouter een email heeft gestuurd naar boefje@criminelebende.com. Maar ook dat Marijke dus in haar ovulatie-app heeft aangegeven dat ze nu ovuleert.
En dat is het probleem. Mensen zien alleen data, maar AI vertaalt dat naar gegevens. En die gegevens sturen ze dan weer door naar HR, waar het stiekem wordt meegenomen met je volgende evaluatiegesprek.
“En die gegevens sturen ze dan weer door naar HR, waar het stiekem wordt meegenomen met je volgende evaluatiegesprek”. Hoezo? Waarom? Waar blijkt dat uit? Wanneer is dat ooit zo gebeurd?
Ik wil deze even omdraaien en zeggen dat je als werknemer er van uit moet gaan dat het (heimelijk) gebeurt, tenzij de werkgever daarvoor expliciete waarborgen heeft ingebouwd die je als werknemer ook kan controleren. Zo gauw een werkgever de tools heeft, kun je er niet vanuit gaan dat ze nooit voor andere doeleinden worden gebruikt (rechtmatig of niet).
Juist vanwege de inherente machtsverhouding die een werkgever heeft over een werknemer, moet je dat soort dingen vast leggen in harde afspraken en kun je niet op de blauwe ogen van de werkgever vertrouwen als ie beweert dat het nu niet gebeurt, en het in de toekomst nooit gaat gebeuren.
Om maar even een parafrase te maken op een bekende uitspraak: Vertrouwen is goed, maar indekken is beter.
Ik ben van nature altijd een beetje wantrouwend in situaties waar mensen gegevens over mij proberen te verzamelen. Dat ik ook de reden dat ik enkele eigen domeinnamen heb en altijd een email alias aanmaak voor iedere website die ik bezoek. En je wilt niet weten hoeveel van die aliasen al zijn gelekt richting hackers. (Waaronder LinkedIn, Adobe en Facebook, die allen ooit gehackt zijn.)
Als er gegeven zijn, dan is er altijd een kans dat deze worden gelekt. En hoe zorgvuldig HR ook is met die gegevens, de kans is altijd dat een manager er (stiekem) toegang tot krijgt en vervolgens verder meeweegt. Die gegevens zijn er namelijk, en dus aantrekkelijk om door te kijken.
Een voorbeeld van dergelijk onterecht toegang krijgen zagen we een tijdje geleden in de moordzaak rond Lisa van Abcoude. (Die zo’n 5 kilometer van mijn huis plaats vond.) In die zaak bleken uiteindelijk 1700 politieagenten onrechtmatig te hebben gesnuffeld in het gehele dossier! Een dossier dat goed beschermd dient te zijn! Net zoals andere persoonsgegevens. Maar het bestaan van die gegevens zal altijd een aantrekkingskracht hebben op nieuwsgierige personen die meer willen weten.
Dus een systeem dat persoonsgegevens bevat over werknemers kan wel goed beschermd worden, maar er is geen garantie dat HR of management er stiekem in gaat snuffelen.
Betreffende mijn persoonlijke ervaringen met dit soort onrechtmatige toegang… Ik zat twee decennia geleden in zo’n situatie. HR had illegaal gegevens over mij verzameld in een periode dat ik met een zware griep thuis zat. Dat werd gebruikt om mij op staande voet te ontslaan. Bij de kantonrechter heb ik aan kunnen tonen dat mijn werkgever illegaal had gehandeld en dat de verzamelde gegevens bovendien onjuist en deels gefabriceerd waren door de werkgever. Ook aangetoond dat mijn werkgever in financieel zwaar weer zat en personeel probeerde te minderen. Mijn ontslagvergoeding liep vervolgens bijna tot 6 cijfers op! Nooit ontvangen omdat het bedrijf kort erna failliet ging, want dit was de laatste druppel, maar toch…
Kortom, ik ben van nature gewoon wantrouwend… 🙂 (En jij kunt zien dat ik een alias gebruik voor deze site! 😀 )
Niet helemaal waar, daar is al vrij snel een vervolgbericht over naar buiten gekomen dat dat juist niet het geval was. Gros van de medewerkers hebben in de incidentenapp gekeken en juist niet in het dossier.
https://www.ad.nl/binnenland/hoofdagent-lieke-is-woest-op-minister-en-op-eigen-baas-in-zaak-lisa-jullie-gooien-ons-publiekelijk-voor-de-bus~ada5b714/ https://tweakers.net/nieuws/245562/politietop-zegt-sorry-na-beschuldiging-dat-1700-agenten-gluurden-in-lisa-dossier.html
En als de werknemer nou zelf een laptop koopt, en daarmee netjes al het werk kan doen wat bij zijn/haar functie hoort.
Op basis waarvan zou de werkgever dan nog kunnen eisen dat je de door hem verstrekte laptop (met keylogger) moet gebruiken?
Een werkgever kan en mag niets met een prive-laptop van een werknemer. Een werkgever kan wel eisen (en technisch afdwingen) dat het werk gedaan dient te worden op een door de werkgever verstrekte laptop, die is voorzien van de door de werkgever vastgestelde software en configuratie.
De werkgever bepaalt hoe en met welke gereedschappen het werk wordt gedaan. BYOD is een gunst, geen recht.