Mag je bij ontslag je zakelijke laptop geformatteerd inleveren?

| AE 10527 | Arbeidsrecht | 12 reacties

Wanneer je als werknemer op non-actief wordt gesteld, moet je op verzoek je telefoon en laptop inleveren. Dat deed een werknemer in deze rechtszaak dan ook, zij het dat hij alle data van de laptop en bijbehorende externe schijf had gewist. Dat was voor zijn privacy gaf hij aan, maar de werkgever zag dat als vernieling van bedrijfsgegevens, omdat niet de gehele laptop automatisch werd gebackupt door het bedrijf. Daarom werd ontslag op staande voet uitgesproken. Een complicatie: de laptop was ooit privé gekocht en er stonden dus ook privébestanden en -software op. Hoe daarmee om te gaan?

De werknemer was in 2015 in dienst getreden bij het bedrijf in de functie van developer/marketingmedewerker. Helaas blijkt uit het vonnis niet waarom, maar in oktober 2016 werd hij op non-actief gesteld. Hij heeft op 12 november 2016 zijn leaseauto en laptop ingeleverd en op 2 december 2016 zijn telefoon en externe harddisk. Die bleken vervolgens alleen volledig geformatteerd, zodat volgens het bedrijf “werkaantekeningen, gespreksverslagen met klanten en derden, ontwerpen voor software en mogelijk door u reeds gemaakte software” verloren zou zijn gegaan omdat er geen automatische dagelijkse backup van de gehele laptop werd gemaakt. Reden voor ontslag op staande voet.

Kan dat zomaar? Voor staande voet gelden strenge eisen, omdat het héle zware consequenties heeft voor de werknemer. Je verliest immers je recht op een uitkering en je krijgt geen vergoeding mee. Dan moet er wel iets heel serieus gebeurd zijn. Aan de werkgever dus om te bewijzen wat er misgegaan is en waarom dat zó erg is dat de werknemer deze keiharde sanctie moet ondergaan.

En dat gaat natuurlijk meteen al mis: wat er op die laptop stond, dat weet je natuurlijk niet als je hem geformatteerd terugkrijgt. Omkeren van de bewijslast zou betekenen dat de werknemer moet bewijzen dat er géén bedrijfsgevoelige informatie op de laptop stond, wat nóg lastiger is. En dat is helemaal niet eerlijk als het gevolg van dit te bewijzen punt is dat je ontslag op staande voet krijgt. Daarom krijgt de werkgever dit in het gezicht terug.

De achterliggende reden voor het formatteren leest als plausibel. De werknemer had de laptop in eerste instantie privé aangeschaft en toen gebruikt voor het werk. Logisch dus dat er ook privébestanden en software op stond, en ik begrijp het als hij zegt, als de arbeidsrelatie verslechtert dan wil ik zeker weten dat de werkgever daar niet aan gaat komen. Ook lijkt het onwaarschijnlijk dat er werkelijk zeer gevoelige en unieke informatie op die laptop stond:

Volgens [verweerder] stond op zijn laptop software die hij zelf had aangeschaft (Office, Photoshop en Coda) en heeft hij geen software van [werkgever] gekregen. Hij heeft eenmalig geprobeerd om op zijn eigen laptop, dus lokaal te werken, maar dat is niet gelukt. [verweerder] heeft ter onderbouwing van dit betoog verwezen naar een e-mail van [collega van verweerder] van 7 maart 2017, waarin is bevestigd dat niemand in het team een lokale werkomgeving had, behalve [collega van verweerder] zelf.

Uiteindelijk blijft er dan ook niets over van vermeende kwade bedoelingen van de werknemer, en de verslechterde arbeidsrelatie geeft dan ook reden voor de werknemer om te vrezen voor zijn privacy. Daarom mocht hij deze formatteeractie uitvoeren. Van het staande-voet-ontslag blijft dus niets over, en de werknemer krijgt een slordige 10.000 euro aan ontslagvergoeding mee.

Arnoud

Wanneer moet je nou met iemand een verwerkersovereenkomst sluiten?

| AE 10538 | Privacy | 31 reacties

Het begint dagelijkse kost te worden voor veel organisaties: of je even een verwerkersovereenkomst wilt tekenen, want de AVG komt eraan en die eist grote zorgvuldigheid en compliance et cetera. Wat me daarbij opvalt, is dat die overeenkomsten opgedrongen worden aan allerlei partijen die überhaupt geen verwerkers zijn. Dat geeft hoogst merkwaardige spraakverwarring. Maar het iemand laten tekenen van een verwerkersovereenkomst is iets dat je kunt doen om AVG compliance aan te tonen, dus zullen er verwerkersovereenkomsten worden getekend. Tegen beter weten in dan ook vandaag, wanneer is iemand nou een verwerker?

De positie van een verwerker onder de AVG is in theorie heel simpel. Dat is een partij die door de verantwoordelijke is ingeschakeld om bepaalde dingen te doen met persoonsgegevens. De verantwoordelijk bepaalt daarbij wat er uiteindelijk moet gebeuren en hoe (“doel en middelen”, in de AVG terminologie), zij het dat de verwerker wel enige ruimte heeft om dit praktisch in te vullen.

Een simpel voorbeeld van een verwerker is een clouddienstverlener die jouw klantgegevens online opslaat. Jij kiest voor die clouddienst en welke gegevens je daar opslaat, de praktische invulling daarvan laat je aan de dienstverlener. Die is dus een verwerker. Géén verwerker is een clouddienst zoals Facebook, omdat die zelf bepaalt welke gegevens ze willen hebben en wat ze daarmee doen.

Natuurlijk zit je vaak met grijze gevallen. Zo’n clouddienst kan die klantgegevens gebruiken voor eigen “kwaliteitsdoeleinden”, of zelfs reclameprofielen opbouwen van die klanten en daar gerichte reclame aan tonen. Dan verschuift die dienstverlener van een zuivere verwerker toch meer richting een eigen verantwoordelijkheid. Er zijn helaas niet echt harde regels om hier een algemene scheidslijn in te trekken.

Ik heb een tijdje terug een advieswizard gemaakt die probeert met een aantal vragen een inschatting te maken. Dat werkt beter dan vage passages zoals in de Handleiding AVG van de Rijksoverheid, met daarin

Wanneer de verwerking van persoonsgegevens niet uw primaire opdracht is, maar het een uitvloeisel is van een andere vorm van dienstverlening, dan bent u als dienstverlener zélf de verwerkingsverantwoordelijke voor deze verwerking.

Hierdoor gaan mensen dus denken dat een clouddienstverlener of IT-supportbedrijf geen verwerker is omdat het gebruik van persoonsgegevens een “uitvloeisel” is van de echte opdracht. Er is niet één vuistregel, één formule om dit te bepalen. Je moet kijken naar alle factoren bij elkaar, en zo inschatten hoe veel eigen ruimte de dienstverlener heeft om te bepalen wat hij doet.

In ieder geval sluit je géén verwerkersovereenkomst met

  1. Je personeel. Die zijn immers gewoon deel van je eigen organisatie.
  2. Je vrijwilligers en ingehuurde krachten. Die vallen onder het kopje “personen onder gezag” van jouw organisatie en zijn dus geen verwerkers.
  3. De personen wiens persoonsgegevens je verwerkt. Ja, dit wordt geëist.
  4. Bedrijven die contactgegevens van jouw personeel in hun CRM systeem stoppen. Dat doen ze immers voor hun eigen bedrijfsvoering.

Overigens zou de verwerkersovereenkomst eigenlijk afgeschaft moeten worden, maar dat een andere keer.

Arnoud

Ook in de VS mag je garantie niet laten vervallen bij het prutsen aan een apparaat

| AE 10529 | Aansprakelijkheid | 2 reacties

De Amerikaanse markttoezichthouder FTC heeft de “warranty void if seal is broken” stickers als ongeldig aangemerkt, las ik bij Ars Technica. Elektronica wordt vaak standaard met zo’n sticker verkocht, of met een beperking in de garantievoorwaarden dat je nergens aanspraak op kunt maken als je zelf aan het apparaat prutst of er mee naar een ongeautoriseerd herstelpunt gaat. Maar dat is in strijd met de Amerikaanse wet, aldus de FTC. Je mag als bedrijf deze uitzondering niet opnemen in je garantievoorwaarden, en je misleidt de consument door dan toch zulke afschrikkende taal te gebruiken. Daarmee zou de Amerikaanse praktijk opschuiven naar hoe het bij ons is.

In de VS geldt sinds 1975 specifieke consumentenwetgeving over garanties. Je bent niet verplicht een product met garantie (wat wij “conformiteit” zouden noemen) te verkopen, maar je moet er wel bij zetten wát voor garantie je levert. Dat mag dus gaan van “AS IS with all faults” tot “levenslang onbeperkt herstel of vervanging”, zolang je het maar uitlegt.

Er gelden een aantal beperkingen, en de beperking waar de FTC nu op inzoomt is deze:

No warrantor of a consumer product may condition his written or implied warranty of such product on the consumer’s using, in connection with such product, any article or service (other than article or service provided without charge under the terms of the warranty) which is identified by brand, trade, or corporate name.

In gewone taal: je mag niet zeggen dat de garantie alleen geldt wanneer je een bepaald specifiek product of specifieke dienstverlener daarvoor inzet. Het is dus niet legaal om te zeggen dat je alleen garantie hebt als je teruggaat naar de originele leverancier of een aangewezen servicepunt, of dat je garantie vervalt als er onderdelen van willekeurige derden als vervanging worden gebruikt. Ook die sticker “void if broken” is daarmee verboden: dat schrikt immers herstel door willekeurige derden af, en komt dus impliciet neer op een voorwaarde dat je naar de leverancier zelf terug moet.

In Europa kennen we niet zo’n expliciete bepaling maar effectief komt onze conformiteitswetgeving op hetzelfde neer. Een winkel die een product verkoopt, moet zorgen dat het product voldoet aan de redelijkerwijs gewekte verwachtingen. Haalt het product die niet, dan moet dat gratis worden hersteld of vervangen. Dat er elders in het product onderdelen van derden zijn gebruikt, of dat het product eerder is hersteld door een ander, mag daarbij geen probleem zijn.

De enige uitzondering is natuurlijk als het conformiteitsprobleem komt door dat onderdeel of door het (ondeskundig) herstel door die ander. Dan is het immers geen gebrek aan het apparaat zols het is verkocht. Dus als je telefoon niet meer belt, mag dat niet worden afgewezen omdat er een scherm is verwisseld door de GSM-boer op de hoek, maar wel als het probleem is dat het scherm niet goed aanraakgevoelig meer is. Idem voor custom roms en eigen software, zeg ik er gelijk even bij, hoewel het daar lastiger kan zijn om aan te wijzen wat waar dan nog door veroorzaakt wordt.

Helaas blijkt dat stickers en teksten als deze hardnekkig zijn. Ik denk dat dat komt omdat het in de VS een staande praktijk is, en de rest van de wereld immers altijd mee mag genieten van de Amerikaanse invulling van wetgeving. Daarom is het significant dat de FTC deze stap neemt, want Amerikaanse bedrijven zullen (hoop je) dan die sticker weghalen en daar profiteren wij dan ook van.

Arnoud

Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)

| AE 10531 | Privacy | 22 reacties

Zorgverzekeraars die gegevens van hun websitebezoekers met behulp van een tracking-pixel naar Facebook verstuurden, overtraden mogelijk de wet. Dat zegt de Autoriteit Persoonsgegevens tegenover Nu.nl. Met deze pixel houdt het bedrijf bij welke pagina’s je zoal leest, om je dan op Facebook gerichte reclame te kunnen tonen. Dat ligt dan gevoelig als die pagina’s medische… Lees verder

Hoe kan Facebook legaal gezichten gaan scannen onder de AVG?

| AE 10513 | Privacy | 10 reacties

Als voorbereiding op de AVG gaat Facebook gezichtsherkenning aanzetten voor Europese gebruikers die dat willen, las ik bij de socialenetwerksite. Dat is verrassend, omdat ze het in 2011 uitgezet hadden na klachten dat de (Duitse) Wbp werd overtreden met deze feature. Doel van de nieuwe feature is te zorgen dat mensen in kunnen grijpen als… Lees verder

Is wifi op de camping standaard of een aparte dienst?

| AE 10511 | Aansprakelijkheid | 17 reacties

Hoort het aanbieden van wifi op de camping aan gasten bij de dienst van verblijf zelf, of is het een aparte dienst? Met die vraag zag de rechtbank Gelderland zich recent geconfronteerd in een belastingzaak. Ja, dit is relevant voor de belasting omdat er verschillende btw-tarieven gelden voor losse diensten bovenop logies en voor de… Lees verder

Ook bij juwelen is bewijs van verzending geen bewijs van ontvangst

| AE 10507 | Webwinkels | 14 reacties

Wanneer een juwelier een dure ring per post verstuurt, en de envelop komt leeg aan, dan is dat zijn risico. Dat haal ik uit een recent arrest uit Den Bosch inzake een geschil tussen een Nederlandse webwinkelier en een Duitse consument. Die laatste had de ring via de website Catawiki gekocht, maar constateerde (samen met… Lees verder

Goh, lawyerbots zijn beter dan juristen in het lezen van saaie juridische documenten

| AE 10505 | Internetrecht | 6 reacties

Alweer ietsje langer geleden maar toch: in een ‘wedstrijd’ tussen een lawyerbot van het Israëlische LawGeex en twintig Amerikaanse advocaten bleek de eerste een stuk beter in staat om juridische fouten in NDA’s en andere documenten te vinden. Om precies te zijn: de AI was 94% accuraat waar de mensen rond de 85% scoorden. Dit… Lees verder