Ook berichten op de zakelijke telefoon kunnen privé zijn

| AE 9597 | Arbeidsrecht | 21 reacties

Wat doe je als je als werkgever het vermoeden krijgt dat een personeelslid haar concurrentiebeding overtreedt? Dan ga je natuurlijk op zoek naar bewijs. Vandaag de dag is dan de laptop of zakelijke telefoon van die werknemer een handige bron van bewijs: deze biedt immers toegang tot mailaccounts, WhatsAppgespreken en ga zo maar door. Maar zoals uit dit vonnis blijkt, moet je als werkgever echt uitkijken met daar zomaar in gaan snuffelen.

De werknemer was in dienst bij een bedrijf voor tandheelkundige zorg. Op zeker moment kreeg het bedrijf een vermoeden dat de werknemer dingen ondernam voor een concurrent, en dat daarbij ook mogelijk vertrouwelijke informatie richting die concurrent zou zijn gegaan. Dat zou in strijd zijn met het concurrentiebeding uit haar arbeidsovereenkomst.

Tijd voor een onderzoek dus. De zakelijke telefoon bood een ingang: via die telefoon kon men eenvoudig toegang krijgen tot communicatie via Facebook, Gmail en Whatsapp. (Zo te lezen was de werknemer automatisch ingelogd vanaf die telefoon op deze diensten, zonder apart wachtwoord.) Na de werknemer op nonactief gesteld te hebben, kreeg men de telefoon terug en kon erop worden gekeken. Daaruit bleek dat er inderdaad communicatie was met werknemers en management van een concurrent.

Maar mag je nu in zulke informatie kijken? Nee, aldus de rechter. Ook al is het een zakelijke telefoon, die gesprekken zijn privé en daar heb je dus van weg te blijven als werkgever.

Nu whatsapp en hotmail tot de privé-domein van [gedaagde] behoren, heeft Ivory door zich daarin toegang te verschaffen zonder instemming van [gedaagde] zonder meer inbreuk gemaakt op haar recht op privacy (artikel 8 EVRM). Deze inbreuk is dermate ernstig, te meer nu [gedaagde] als gevolg daarvan zelf geen toegang meer had tot haar whatsapp en hotmail, dat het belang van Ivory bij de inbreuk, namelijk het achterhalen hoe ver de concurrerende activiteiten van [gedaagde] reiken, onvoldoende is om de ernst van de inbreuk te rechtvaardigen. Er is dan ook sprake van onrechtmatig verkregen bewijs.

Maar zoals wel vaker gezegd, dat betekent niet dat het bewijs dus buiten beschouwing blijft. In Nederland is onrechtmatig verkregen bewijs bruikbaar als bewijs. Dat je het bewijs onrechtmatig verkreeg, is iets waar je apart op afgerekend wordt.

In dit geval zitten er verder weinig consequenties aan, wat ik wel opmerkelijk vind. De berichten laten zien dat de werknemer inderdaad bezig was onder de duiven van de werkgever te schieten, onder meer door prospects door te spelen aan de concurrent zodat die ze over kon nemen. Ook werden financiële informatie en klantgegevens doorgemaild. Dat is vrij ernstig en inderdaad een overtreding van het concurrentiebeding. Mogelijk dat de rechter daardoor weinig sympathie meer over had om de werkgever af te rekenen op het onrechtmatig snuffelen? (Of het is zo simpel als dat er geen schadevergoeding werd gevorderd, dus ook niet kon worden toegewezen.)

Arnoud

Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

| AE 9586 | Arbeidsrecht, Privacy | 31 reacties

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op een voor mij wat ergerlijke manier: het is me iets te makkelijk, dat “iedereen kiest voor Facebook dus wat je daar zet is vogelvrij”.

De kern van dit standpunt komt erop neer dat Facebook en andere sociale media inzetten een bewuste keuze is, die weloverwogen wordt gemaakt door een gemiddeld omzichtige consument na zich adequaat geïnformeerd te hebben. Na die keuze is het inderdaad wat raar om ineens te gaan schermen met allerlei privacybezwaren. Wie zijn arts aanklaagt voor een amputatie na middels diverse gesprekken over de beste medische behandeling daar welbewust voor gekozen te hebben, zal ook niet snel gelijk krijgen.

Alleen: dat de gemiddelde burger zo’n omzichtige consument is, klopt natuurlijk van geen kant. Mensen kiezen niet welbewust en na zorgvuldig inlezen voor die diensten, men gebruikt het omdat iedereen het gebruikt, het er netjes en overzichtelijk uitziet en het wel snor lijkt te zitten. Wie zou er immers niet een keurige nette dienst afnemen van een groot beursgenoteerd bedrijf? Betrouwbaarder kan haast niet, zou je denken.

En er zitten ook keurige knopjes in om je privacy mee te bedienen. Alleen, zo makkelijk is dat nog niet. Uit onderzoek blijkt dat slechts een derde van de mensen snapt hoe Facebook-privacyinstellingen werken. De meeste mensen denken te snel dat ze iets privé hebben gemaakt. Je moet er een behoorlijke studie van maken om zeker te weten wat je doet als je dingen dicht wil zetten.

Sterker nog: je kúnt je haast niet adequaat inlezen in wat die diensten doen. De privacyverklaring staat vol wollige taal, en wie dat allemaal door wil spitten is daar 76 werkdagen per jaar mee kwijt. En nog erger, die privacyverklaringen zijn niet volledig dus zelfs als je die 76 dagen er voor gaat zitten, kom je er nog niet uit.

En zelfs als je wél eruit komt, de boel goed dichttimmert en oplet wat je post, dan nog loop je tegen vrienden en kennissen aan die zonder nadenken dingen posten met jouw naam of foto erin. Een fotoverslag van een leuk feestje met als grappig commentaar dat jij weer helemaal teut was “maar je zal je wel ziek gemeld hebben vandaag he” om eens wat te noemen. Of tegen een naamgenoot die het wat minder nauw met de werkethiek neemt.

Natuurlijk zijn er mensen die welbewust hun hele leven delen. Die zullen er ook weinig bezwaar tegen hebben dat hun werkgever dat leest. Maar daar zal ook weinig echt privés te vinden zijn. Deze regels over werknemers googelen zijn natuurlijk niet voor deze groep bedoeld. Het gaat om het gros van de mensen dat niet weet, en eigenlijk ook niet kán weten hoe Facebook en consorten werken, die in een vervelende positie komen als hun socialmediainformatie al te makkelijk gebruikt kan worden.

Die mensen wegzetten als “ze kiezen er welbewust voor” vind ik gewoon wereldvreemd. Hetzelfde geldt voor “je hoeft niet op Facebook te zitten”, waar ik eerder al over tireerde.

(En dat raakt aan een aanverwant punt waar het Netkwesties-stuk overheen scheert: de benodigde zorgvuldigheid om die informatie op waarde te schatten. Weet jij als werkgever of zo’n bericht waar is? Klopt de datum wel? Is het echt je werknemer? En is het opschepperij/stoerdoen naar vrienden of serieus bedoeld?)

Arnoud

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden.

Dit lijkt me niet iets dat je kunt weigeren te doen. De werkgever bepaalt hoe het werk wordt uitgevoerd, en als hij ervoor kiest om Google als leverancier in te zetten dan heb jij het daarmee te doen. Dat je bij het gebruiken daarvan op een akkoord-knopje moet drukken, is dus gewoon deel van je werk.

Het is echter een misverstand dat je als werknemer dan ineens toestemming geeft aan Google voor wat dan ook. Ik geef toe, een gemakkelijke fout want er stáát immers “I agree” en er zit een privacyreglement bij ook nog. Maar als je als werknemer op zo’n knop druk, dan ga je hooguit namens je werkgever met dingen akkoord. Niet privé.

Natuurlijk kan Google allerlei dingen van je te weten komen wanneer je als werknemer met die diensten werkt. Maar ook dat is de verantwoordelijkheid van je werkgever. Als goed werkgever heeft hij de taak jouw privacy te waarborgen, en dus ook te zorgen dat leveranciers niet zomaar allerlei persoonlijke dingen van werknemers te weten komen. Hij zal dus bijvoorbeeld een bewerkersovereenkomst moeten treffen met die leveranciers, waarin staat dat deze niet gaat snuffelen in netwerkverkeer van werknemers. Je kunt hem daarop aanspreken als hij dat niet goed geregeld heeft.

En ik snap heus dat Google zich weinig aan zal trekken van zo’n Nederlands werkgevertje, maar daar zal het arbeidsrecht weinig rekening mee houden.

Arnoud

Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

| AE 9480 | Aansprakelijkheid, Arbeidsrecht | 12 reacties

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat… Lees verder

Mag een bedrijf met DPI ons netwerkverkeer inspecteren?

| AE 9449 | Arbeidsrecht | 28 reacties

Een lezer vroeg me: Vraag: Ons bedrijf beheert voor klanten grote hoeveelheden gevoelige data, waaronder persoonsgegevens. Nu is recent een nieuwe firewall geïnstalleerd met DPI, die ook ssl-verkeer kan decrypten en inspecteren. Dit zou zijn om datalekken te voorkomen. Maar nu wordt al mijn beveiligde internetverkeer bekeken! Mag dat zomaar? Vanwege de Wet meldplicht datalekken… Lees verder

Ik moet een app installeren van mijn werkgever en dat wil ik niet

| AE 9257 | Arbeidsrecht | 59 reacties

Een lezer vroeg me: Mijn werkgever wil dat we allemaal een app installeren die voor het werk noodzakelijk is. Hiermee moeten we onder meer onze tijd bijhouden en registreren bij welke klanten we zijn geweest. Maar ik wil dat helemaal niet op mijn privételefoon. Mag ik dit weigeren? Ja, dat mag je weigeren. De werkgever… Lees verder

Wanneer twitter je op persoonlijke titel?

| AE 9377 | Arbeidsrecht | 8 reacties

Wanneer ben je voor een tweet aansprakelijk als bedrijf, meldde Media Report onlangs. Een recent vonnis handelde over die kwestie. Twee bestuurders van een beleggingsadviesbedrijf hadden op Twitter gepraat over een bepaald fonds dat volgens hen oplichters zouden zijn. Het fonds had het bedrijf aangeklaagd, maar het bedrijf verweerde zich met de opmerking dat er… Lees verder

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

| AE 9375 | Arbeidsrecht, Beveiliging | 24 reacties

Een lezer vroeg me: Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons… Lees verder

Github introduceert werknemersvriendelijk IP-contract

| AE 9359 | Arbeidsrecht | 4 reacties

Broncodebeheerbedrijf Github staat sinds kort toe dat hun werknemers de rechten (IP) op eigen werk mogen houden als ze die met bedrijfsmiddelen of onder werktijd hebben gemaakt, meldde QZ onlangs. Hiermee wijkt men werknemersvriendelijk af van de standaard in de VS: gebruikelijk daar is dat alle IP toekomt aan de werkgever van alles dat ook… Lees verder

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

| AE 9313 | Arbeidsrecht, Privacy | 33 reacties

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP:… Lees verder