Oh, je baas mag toch niet meegluren in je privéberichten op je werk?

| AE 9661 | Arbeidsrecht, Privacy | 2 reacties

Het Europese Hof voor de Rechten van de Mens heeft in een uitspraak bepaald dat bedrijven hun werknemers moeten inlichten op het moment dat hun digitale communicatie vanaf de werkplek in de gaten wordt gehouden. Dat meldde Tweakers vorige week. Een werknemer had een zakelijk Yahoo Messenger account aangemaakt om daarmee met klanten te kunnen chatten. De werkgever monitorde dit account en constateerde op zeker moment dat er privécommunicatie (met onder meer zijn broer en zijn verloofde) was geweest, en gebruikte dat als grond voor ontslag. Het EHRM corrigeert de uitspraak: de werknemer was niet vooraf specifiek geïnformeerd, en dus was het ontslag onterecht.

De uitspraak is een vervolg op deze zaak uit 2016. Destijds werd vooral op de inhoud beslist: het account was aangemaakt voor zakelijke doeleinden, waardoor het al vrij snel redelijk is dat de werkgever daarin kijkt. Dat Yahoo Messenger een typisch consumentenchatprogramma is, doet daar niet aan af. Verder werden de berichten niet inhoudelijk bekeken in de rechtszaak, maar werd heel snel vastgesteld dat het privécommunicatie betrof, waarna de rest van de zaak ging over of duidelijk was gemeld dat dat niet mocht, hoe ernstig alles was et cetera.

De werkgever gaat echter toch onderuit op het formele aspect van notificatie, de inlichtingenplicht uit de Wet bescherming persoonsgegevens en vanaf volgend jaar de Algemene Verordening Gegevensbescherming. Deze vereist kort gezegd dat de betrokkene duidelijk wordt geïnformeerd over het wat en hoe van de gegevensverwerking.

In deze zaak was geen duidelijk reglement verstrekt waarin werd uitgewerkt onder welke omstandigheden overgegaan zou worden tot monitoring van privégebruik van ICT-middelen. Weliswaar was een andere werknemer recent ook ontslagen vanwege dergelijk privégebruik, maar dat is als informatie onvoldoende voor werknemers om te weten te komen wat de aard en scope van monitoring van dergelijke middelen is. Daarnaast was het algemene reglement met een verbod op privégebruik van ICT-middelen wel verstrekt, maar dat bevatte geen waarschuwing dat gemonitord kon worden om dit verbod te handhaven.

Ook was niet duidelijk genoeg specifiek gemotiveerd waarom monitoring in dit geval nodig zou zijn. Het lijkt erop dat de monitoring als algemeen middel werd ingezet en niet specifiek tegen deze persoon omdat er gegronde vermoedens waren gerezen van privégebruik. Dat is dan te snel naar een zwaar middel gegrepen zonder na te denken of het anders kon.

Daarnaast wordt het nationale vonnis vernietigd met het argument dat te weinig naar subsidiariteit is gekeken. Het Hof ziet de monitoring van ICT-communicatie als een zwaar middel, waardoor dit zwaarwegend in de afweging van belangen moet worden betrokken. Bij voorkeur kan de werkgever geen privécommunicatie lezen, maar moet worden volstaan met het bepalen of gesprekken privé zijn. Dat zou bijvoorbeeld kunnen door te constateren dat de wederpartij in de communicatie niet bekend is als klant, waarna de werknemer kan worden gevraagd of deze persoon wellicht toch een zakelijke relatie is (denk aan mensen die liever vanaf een privéadres chatten of thuiswerken en geen zakelijk account kunnen gebruiken). Hier werd direct naar het zwaarste middel gegrepen, en dat kan dus niet door de beugel.

Ik roep het vaker, maar het is echt van groot belang dat je een reglement maakt waarin je specifiek uitwerkt wat je bedrijfsbeleid is rond monitoring. En dan dus niet met dooddoeners als “vanwege security kan monitoring plaatsvinden” maar benoem de vormen van monitoring: aan/uitzetten van chatapplicaties, automatisch lezen van verkeersgegevens, automatische analyses van inhoud, handmatige kennisname van inhoud. Wie kan hierbij en waarom? Waarom is privégebruik verboden, hoe ver strekt dat verbod en wat zijn de (proportionele) sancties op overtreding?

Arnoud

Mag een collega je laptop locken en in Word aan je uitleggen waarom?

| AE 9625 | Arbeidsrecht | 43 reacties

Een lezer vroeg me:

Een collega van me kreeg gisteren ruzie met een andere collega: hij had diens laptop onbeheerd gespot zonder vergrendeling, dus deze snel op slot gedaan. Hij had in Word een nieuw bestand gemaakt en daarin in grote letters “Je laptop stond onbeheerd open, heel onverstandig, groeten Wim” gezet zodat de collega na unlocken zou snappen wat er was gebeurd. Maar die collega spreekt nu van computervredebreuk en privacyschending, en wil bij HR een klacht indienen. Loopt mijn collega nu enig risico?

Als we het hebben over werkcomputers, dan is er zeer zeker geen sprake van computervredebreuk of ander strafbaar feit wanneer collega’s aan elkaars spullen zitten. Net zo min als wanneer je collega achter jouw bureau gaat zitten. Het is namelijk niet ‘zijn’ bureau of laptop, die is van het werk en jullie hebben beiden als werknemer toestemming de werkmiddelen te gebruiken.

Natuurlijk kan het vervelend zijn als collega’s aan elkaars spullen zitten. Maar dat wordt opgelost met de wettelijke regel dat je je als goed werknemer moet gedragen: wat is fatsoenlijk, wat is normaal in deze situatie.

Ik zou zeggen dat er niets mis is met een collegas PC locken en net daarvoor even een berichtje open zetten “Je laptop zat niet op slot”. Natuurlijk ga je niet eerst rondkijken of er wat te lachen valt in de privémapjes of browsergeschiedenis. Ik zie dus geen reden voor een klacht, laat staan voor een berisping of zelfs maar een stevig gesprek.

Gezien het steeds groeiender belang van security denk ik dat het goed is als werkgevers hier eens expliciet regels over gaan maken. Wat mag je wel doen met een onbeheerde pc en wat niet?

Een in de praktijk goed werkende mogelijkheid is het krokettenprotocol (in het zuiden des lands ook bekend als het vlaaiprotocol): als iemands computer onbeheerd open staat, dan ben je geautoriseerd om de betreffende collegas/groep/afdeling een mail te sturen “Ik neem morgen [kroketten|vlaai] mee”. Daarna de laptop op slot en verder nergens aan komen.

Arnoud

Ook berichten op de zakelijke telefoon kunnen privé zijn

| AE 9597 | Arbeidsrecht | 21 reacties

Wat doe je als je als werkgever het vermoeden krijgt dat een personeelslid haar concurrentiebeding overtreedt? Dan ga je natuurlijk op zoek naar bewijs. Vandaag de dag is dan de laptop of zakelijke telefoon van die werknemer een handige bron van bewijs: deze biedt immers toegang tot mailaccounts, WhatsAppgespreken en ga zo maar door. Maar zoals uit dit vonnis blijkt, moet je als werkgever echt uitkijken met daar zomaar in gaan snuffelen.

De werknemer was in dienst bij een bedrijf voor tandheelkundige zorg. Op zeker moment kreeg het bedrijf een vermoeden dat de werknemer dingen ondernam voor een concurrent, en dat daarbij ook mogelijk vertrouwelijke informatie richting die concurrent zou zijn gegaan. Dat zou in strijd zijn met het concurrentiebeding uit haar arbeidsovereenkomst.

Tijd voor een onderzoek dus. De zakelijke telefoon bood een ingang: via die telefoon kon men eenvoudig toegang krijgen tot communicatie via Facebook, Gmail en Whatsapp. (Zo te lezen was de werknemer automatisch ingelogd vanaf die telefoon op deze diensten, zonder apart wachtwoord.) Na de werknemer op nonactief gesteld te hebben, kreeg men de telefoon terug en kon erop worden gekeken. Daaruit bleek dat er inderdaad communicatie was met werknemers en management van een concurrent.

Maar mag je nu in zulke informatie kijken? Nee, aldus de rechter. Ook al is het een zakelijke telefoon, die gesprekken zijn privé en daar heb je dus van weg te blijven als werkgever.

Nu whatsapp en hotmail tot de privé-domein van [gedaagde] behoren, heeft Ivory door zich daarin toegang te verschaffen zonder instemming van [gedaagde] zonder meer inbreuk gemaakt op haar recht op privacy (artikel 8 EVRM). Deze inbreuk is dermate ernstig, te meer nu [gedaagde] als gevolg daarvan zelf geen toegang meer had tot haar whatsapp en hotmail, dat het belang van Ivory bij de inbreuk, namelijk het achterhalen hoe ver de concurrerende activiteiten van [gedaagde] reiken, onvoldoende is om de ernst van de inbreuk te rechtvaardigen. Er is dan ook sprake van onrechtmatig verkregen bewijs.

Maar zoals wel vaker gezegd, dat betekent niet dat het bewijs dus buiten beschouwing blijft. In Nederland is onrechtmatig verkregen bewijs bruikbaar als bewijs. Dat je het bewijs onrechtmatig verkreeg, is iets waar je apart op afgerekend wordt.

In dit geval zitten er verder weinig consequenties aan, wat ik wel opmerkelijk vind. De berichten laten zien dat de werknemer inderdaad bezig was onder de duiven van de werkgever te schieten, onder meer door prospects door te spelen aan de concurrent zodat die ze over kon nemen. Ook werden financiële informatie en klantgegevens doorgemaild. Dat is vrij ernstig en inderdaad een overtreding van het concurrentiebeding. Mogelijk dat de rechter daardoor weinig sympathie meer over had om de werkgever af te rekenen op het onrechtmatig snuffelen? (Of het is zo simpel als dat er geen schadevergoeding werd gevorderd, dus ook niet kon worden toegewezen.)

Arnoud

Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

| AE 9586 | Arbeidsrecht, Privacy | 31 reacties

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op… Lees verder

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Arbeidsrecht | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden. Dit… Lees verder

Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

| AE 9480 | Aansprakelijkheid, Arbeidsrecht | 12 reacties

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat… Lees verder

Mag een bedrijf met DPI ons netwerkverkeer inspecteren?

| AE 9449 | Arbeidsrecht | 28 reacties

Een lezer vroeg me: Vraag: Ons bedrijf beheert voor klanten grote hoeveelheden gevoelige data, waaronder persoonsgegevens. Nu is recent een nieuwe firewall geïnstalleerd met DPI, die ook ssl-verkeer kan decrypten en inspecteren. Dit zou zijn om datalekken te voorkomen. Maar nu wordt al mijn beveiligde internetverkeer bekeken! Mag dat zomaar? Vanwege de Wet meldplicht datalekken… Lees verder

Ik moet een app installeren van mijn werkgever en dat wil ik niet

| AE 9257 | Arbeidsrecht | 59 reacties

Een lezer vroeg me: Mijn werkgever wil dat we allemaal een app installeren die voor het werk noodzakelijk is. Hiermee moeten we onder meer onze tijd bijhouden en registreren bij welke klanten we zijn geweest. Maar ik wil dat helemaal niet op mijn privételefoon. Mag ik dit weigeren? Ja, dat mag je weigeren. De werkgever… Lees verder

Wanneer twitter je op persoonlijke titel?

| AE 9377 | Arbeidsrecht | 8 reacties

Wanneer ben je voor een tweet aansprakelijk als bedrijf, meldde Media Report onlangs. Een recent vonnis handelde over die kwestie. Twee bestuurders van een beleggingsadviesbedrijf hadden op Twitter gepraat over een bepaald fonds dat volgens hen oplichters zouden zijn. Het fonds had het bedrijf aangeklaagd, maar het bedrijf verweerde zich met de opmerking dat er… Lees verder

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

| AE 9375 | Arbeidsrecht, Beveiliging | 24 reacties

Een lezer vroeg me: Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons… Lees verder