Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 29 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP: dergelijke informatie wordt aangemerkt als bijzonder persoonsgegeven en dat mag als werkgever alleen worden verwerkt met aparte toestemming. En die kunnen werknemers niet geven.

Eind 2015 ontving de Autoriteit Persoonsgegevens signalen van werknemers van het bedrijf dat men akkoord moest gaan met beleid over random blaastests en drugscontroles (wangslijmtest, drugshonden, controleren van auto’s en werkplekken). Als een werknemer niet zou tekenen, zouden volgens die signalen sancties volgen, zoals plaatsing op een andere positie. Echt vrijwillig is dat dus niet te noemen. (Je zou ze de kost moeten geven, alle bedrijven waar je als werknemer moet tekenen voor allerlei beleid of gebruik van je persoonsgegevens waarna wordt geclaimd dat er ‘toestemming’ is.)

Dit leidde tot onderzoek, met als conclusie dat het bedrijf die gegevens echt niet zomaar mag verzamelen. Gegevens over alcohol- of drugsgebruik tellen als bijzonder persoonsgegeven – het zijn immers gegevens over gezondheid, als je het zuiver bekijkt. En als bedrijf mag je niet beschikken over dergelijke gegevens van je personeel. Ziekteverzuim en -dossiers mogen bijvoorbeeld alleen door een bedrijfsarts worden bijgehouden; de werkgever mag niet meer weten dan “Wim is ziek en waarschijnlijk maandag weer beter”. Zelfs Wim vragen “Goh wat had je eigenlijk vrijdag” is heel formeel verboden (oké oké alleen als je dat vervolgens in een bestand opslaat, of als je het hem appt).

Er zijn natuurlijk uitzonderingen. De hier meest relevante was die van uitdrukkelijke toestemming: wie in vrijheid zegt, het is prima dat je weet wat ik heb, heft daarmee het verbod op verwerking van dat persoonsgegeven op. Daar beriep Uniper zich op, maar dat sneuvelde al snel:

Uit [de wetsgeschiedenis] blijkt dus dat de toestemming niet onder druk mag worden gevraagd en gegeven. De testen worden uitgevoerd in opdracht van de werkgever. In het ‘Beleid alcohol-, medicijn- en drugsgebruik’ van 29 oktober 2015 staat dat een werknemer die geen verklaring tekent waarmee hij aangeeft in te stemmen met de testen in ieder geval een gesprek met de leidinggevende krijgt en bovendien het risico loopt op een andere positie te worden geplaatst. Een werknemer die bij de feitelijke test niet meewerkt wordt gesanctioneerd alsof er sprake is van een positieve uitslag. De werknemer wordt derhalve onder druk gezet om toestemming te verlenen. Er kan in dit geval dan ook niet gesproken worden van een ‘vrije toestemming’.

(Uniper beriep zich ook op gronden als een vitaal belang, dronken of onder de drugs gevaarlijke apparatuur bedienen is immers levensgevaarlijk. Daarvan werd echter gesteld dat de maatregel niet proportioneel was, en die laat ik verder even buiten beschouwing.)

Die uitspraak gaat natuurlijk over een specifieke context (geef toestemming of we behandelen je als drugsverslaafde en je kunt je promotie wel vergeten, even gechargeerd) maar de achterliggende gedachte is verstrekkend: een werknemer kan dus in beginsel geen toestemming geven voor privacykwesties aan zijn werkgever. Niet voor bijzondere gegevens, maar ook niet voor normale. Want ook in normale situaties is altijd enige ‘druk’ aanwezig, al is het maar de algemene druk dat je werkgever het onthoudt en mee laat wegen bij de keuze wie straks die promotie moet krijgen.

Een werkgever zal dus eigenlijk altijd een andere grondslag moeten hebben, zoals dat het nodig is voor het werk om die gegevens te hebben (wat alleen niet kan bij bijzondere persoonsgegevens) of dat hij een eigen zwaarwegend belang heeft (wat bij bijzondere persoonsgegevens overigens een ontheffing vereist). De naam en contactgegevens van personeel op je site zetten zou onder het eerste vallen; cameratoezicht met de juiste waarborgen onder het tweede.

Arnoud

Ben je als werknemer aansprakelijk bij CEO fraude?

| AE 9236 | Arbeidsrecht | 5 reacties

Een lezer vroeg me:

Een relatief nieuw concept in de cybercrime is CEO fraud. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de CEO, CFO, Group Executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?

CEO fraud is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de CEO. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.

De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.

Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.

Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?

Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.

Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de CEO spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de CEO is.

Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de CEO dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de CEO was, dan heeft hij terecht afgeweken van het verbod.

Arnoud

Mag mijn ex-werkgever een collega onder mijn blogs zetten?

| AE 9255 | Arbeidsrecht, Auteursrecht | 25 reacties

Een lezer vroeg me:

Enige tijd terug ben ik in goed overleg bij mijn vorige werk weggegaan, en ik werk nu ergens anders maar in dezelfde branche. Ik zag laatst echter dat mijn werkgever onder al mijn blogs nu een collega heeft gezet. Prima, alleen staat erbij dat die persoon de auteur is. Dat klopt niet en nu kan ik niet meer laten zien wat ik in het verleden heb gedaan. Mag hij dat zo doen?

(Dit sluit meteen mooi aan bij de recente vraag over werkgeversauteursrecht.)

Wanneer je als werknemer iets maakt in het kader van het werk, dan heeft de werkgever daarop het auteursrecht. Hij mag er dus mee doen wat hij wil. Online laten staan, weghalen, aanpassen, een andere contactpersoon erbij zetten, noem maar op.

Specifiek bij dit geval ligt het wat lastiger. Hier wordt namelijk de werknemer zijn vermelding als werkelijk maker ontnomen. Dat stuit af op de zogeheten persoonlijkheidsrechten (artikel 25 Auteurswet). Je hebt als maker het recht naamsvermelding te eisen, zelfs nadat je het auteursrecht hebt overgedragen. Je kunt afstand doen van dat recht, maar dat moet wel expliciet gebeuren.

Alleen: hééft de werknemer wel persoonlijkheidsrechten? Daar is onder juristen geen consensus over. Het punt is namelijk dat je niet je auteursrecht aan je werkgever overdraagt – de werkgever wordt geacht het werk te hebben gemaakt, niet de werknemer. En als je de werkgever als maker aanmerkt, dan komen de persoonlijkheidsrechten dus strikt gesproken ook aan de werkgever toe. Maar dat is dan ook weer gek, want persoonlijkheidsrechten zijn bedoeld om ménsen te beschermen. Dus horen ze logischer wijs bij de werknémer.

Lange tijd was de rechtspraak de eerste gedachte toegedaan: volgens de wet is de werkgever de maker, en dus ook de houder van de persoonlijkheidsrechten. De werknemer had dus geen enkele aanspraak op naamsvermelding. De laatste jaren komt daar wat verandering in. Zo werd in deze zaak bepaald dat een fotograaf-werknemer wel degelijk naamsvermelding kon eisen bij publicatie van dat werk (dat keurig binnen het kader van het arbeidscontract viel) door de werkgever. En mijn collega Mathieu Paapst publiceerde in 2010 ook al over een voorzichtige verschuiving richting dat laatste.

Het is dus verdedigbaar dat je als werknemer (ook als ex-werknemer) kunt eisen dat de werkgever je naam bij je publicaties zet, tenzij je daar expliciet en vrijwillig afstand van hebt gedaan. Dat zou dan eigenlijk wel in het arbeidscontract moeten gebeuren. Je werknemer verplichten een afstandsverklaring te tekenen, is niet rechtsgeldig.

Voor de werkgever is dat niet even prettig, zeker bij ex-werknemers. Je zult dus als werknemer wel enige moeite moeten doen om uit te leggen waarom je dit wilt. En natuurlijk mag de werkgever er altijd bijzetten “Deze persoon werkt niet meer bij ons; neem contact op met opvolger A”.

Arnoud

In ons bedrijfshandboek staat dat e-mail als bedrijfspost geldt!

| AE 9196 | Arbeidsrecht, E-mail | 24 reacties

Een lezer vroeg me: In het bedrijfshandboek van mijn kantoor staat dat e-mail dient te worden beschouwd als het elektronisch equivalent van zakelijke post, en dat de directie derhalve zich het recht voorbehoudt e-mail te lezen als zij daar aanleiding toe ziet. Oftewel, ze mogen je mail lezen als ze willen. Kan dat zomaar? Dat… Lees verder

Opensourcewerk als nevenactiviteit in het arbeidscontract

| AE 9171 | Arbeidsrecht, Open source | 18 reacties

Een lezer vroeg me: Ik ga binnenkort als programmeur aan de slag bij een middelgroot bedrijf. Naast mijn werk wil ik aan allerlei open source projecten kunnen blijven werken, maar dat botst met de auteursrechtclausule uit hun contract: alles is automatisch van hen, ook als ik het in eigen tijd maak. Is daar juridisch iets… Lees verder

Mag je je smartphone uitzetten na het werk?

| AE 9160 | Arbeidsrecht | 21 reacties

In Frankrijk krijgen werknemers per 1 januari het wettelijk recht om hun smartphone buiten werktijd uit te zetten, meldde Nu.nl onlangs. Bedrijven met meer dan vijftig werknemers worden wettelijk verplicht hun werknemers te zeggen wanneer ze hun telefoon kunnen uitzetten. Het doel van deze maatregel is de bereikbaarheidscultuur te doorbreken en te zorgen dat werknemers… Lees verder

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Ik wil niet namens mijn werkgever akkoord gaan met Microsoft’s EULA

| AE 9075 | Arbeidsrecht, Software | 15 reacties

Een lezer vroeg me: Deel van mijn werk is het uitrollen van Office 365. Eén van de installatiestappen is het akkoord gaan met de hele riedel gebruiksvoorwaarden en privacy condities van de firma Microsoft. Dit snap ik niet. Waarom moet dat, als wij al een contract hebben? En hoe voorkom ik dat ik straks privé… Lees verder