Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

| AE 9375 | Arbeidsrecht, Beveiliging | 24 reacties

Een lezer vroeg me:

Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons toegang zou geven tot haar mailbox.

Ook op het werk heb je recht op privacy – en ja, zelfs als je met vakantie bent. Collega’s mogen dan ook niet ineens in je bureaulades kijken of de achtergelaten broodtrommel eens inspecteren.

Niet ineens – er moet een goede werkgerelateerde reden voor zijn die deze privacyinbreuk kan rechtvaardigen. Die broodtrommel stinkt, dat is een gevaar voor de gezondheid. Dus openmaken en leeggooien dat ding. Dat ene dossier dat nú nodig is, dat mag je zoeken in die bureaulade maar die portemonnee die daar ligt, daar blijf je natuurlijk af. (Om een of andere reden vindt iedereen dit heel logisch, maar wordt het meteen heel ingewikkeld bij ICT-equivalenten.)

Bij het doorzoeken van mailboxen moet er dus ook een goede reden zijn. Het werk moet worden overgenomen, er is een specifieke mail nodig om afspraken na te kijken of een ruzie te voorkomen. Dan is het in principe oké om in die mailbox te kijken. Je moet dan rekening houden met de privacy van de werknemer, bijvoorbeeld door het doorzoeken op basis van trefwoorden (zoals afzender) te doen. Dan verklein je de kans dat je per abuis privézaken ziet.

Bij het aanzetten van een out-of-officebericht zie ik eerlijk gezegd die privacyzorg eigenlijk niet. Ja, je krijgt met het wachtwoord toegang tot de mailbox, maar je gáát er niet in. Je opent de mailbox, negeert de map Inbox die dan getoond wordt en zet in Instellingen een en ander aan. Daarna de browser sluiten.

Als je je écht zorgen maakt, dan moet je een vierogenprincipe toepassen: een IT-er en een manager (of iemand van HR) gaan samen die mailbox in en navigeren naar dat menu om het bericht aan te zetten. Voor het nazoeken van werkmails zou ik dat een redelijke stap vinden, maar voor een out of office lijkt mij dat nogal overdreven.

Natuurlijk moet de werknemer na haar vakantie tekst en uitleg krijgen van deze actie, maar dat terzijde.

Arnoud

Opensourcewerk als nevenactiviteit in het arbeidscontract

| AE 9171 | Arbeidsrecht, Open source | 18 reacties

Een lezer vroeg me:

Ik ga binnenkort als programmeur aan de slag bij een middelgroot bedrijf. Naast mijn werk wil ik aan allerlei open source projecten kunnen blijven werken, maar dat botst met de auteursrechtclausule uit hun contract: alles is automatisch van hen, ook als ik het in eigen tijd maak. Is daar juridisch iets aan te doen?

Het is zeer standaard om in een arbeidscontract binnen de ICT een auteursrechtclausule op te nemen. Als werkgever wil je immers zeker weten dat je de auteursrechten krijgt op wat je personeel maakt. Op zich staat dat al in de wet, maar je mag van die wettelijke regeling afwijken bijvoorbeeld door scherpere en/of bredere grenzen te trekken.

Als potentieel werknemer hoef je zo’n clausule natuurlijk niet te accepteren. Je mag hier vrij over onderhandelen. Natuurlijk loop je wel enig risico dat de werkgever dan geen zin meer in je heeft, maar ik mag hopen dat een werkgever extra enthousiast wordt van een programmeur die ook in zijn vrije tijd bezig is met zijn werk-skills aanscherpen.

Er zijn verschillende manieren om dit te doen. Vrijwel iedere werkgever gaat akkoord met “Ik mag aan nevenactiviteiten programmeren en de auteursrechten worden van mij, mits ik vooraf toestemming vraag”. Dit klinkt mooi, maar de cynische jurist zal meteen opmerken dat dit niets toezegt, want toestemming mag (binnen het redelijke) immers altijd worden geweigerd. Toevoegen “Toestemming mag alleen worden geweigerd als” met een beperkte lijst argumenten is dus wel zo verstandig. Denk aan “als de activiteit concurreert met het werk”, “als het werk gaat lijden onder het nevenwerk” of “als de nevenactiviteit gerund wordt door een concurrent/leverancier”.

Je kunt het ook generieker houden: nevenactiviteiten mogen tenzij ze concurreren of tenzij ze conflicteren met het werk. Dan is toestemming niet meer aan de orde maar moet de werknemer zelf inschatten of er een probleem kan ontstaan. In de praktijk komt het dan toch neer op een soort van toestemming, want bij twijfel gaat de werknemer natuurlijk vragen of iets mag of niet.

Vaak wordt ook gewerkt met een lijst met projecten waar men aan werkt. Dat kan, maar het onderhouden van die lijst is waar het dan vaak mis mee gaat. Maak dus dan in ieder geval een afspraak over hoe vaak die lijst wordt herzien en hoe eenzijdig de werknemer er projecten aan mag toevoegen. Is dat “ik zal nieuwe projecten mailen en ze zijn goedgekeurd tenzij men piept binnen 14 dagen” of “ik mag pas beginnen na schriftelijke goedkeuring van de directie”?

Mijn ervaring is wel dat dit soort clausules vaak discussie geven in het onderhandeltraject, en vervolgens compleet onder het tapijt verdwijnen. Ik vraag me dan ook wel eens af of het wel écht nodig is dit zo uitgebreid te regelen. Maar goed, het is altijd beter dingen vooraf te bespreken dan achteraf er ruzie over te maken.

Wat is bij jullie bedrijf het beleid over buiten het werk om aan open source te werken?

Arnoud

Mag mijn werkgever toegang eisen tot mijn BYOD telefoon?

| AE 8909 | Arbeidsrecht | 29 reacties

telefoon-smartphone-kinderen-schoolEen lezer vroeg me:

Ons bedrijf heeft onlangs een Bring-Your-Own-Device beleid uitgerold waarbij je je eigen smartphone mag gebruiken voor werkzaken. Daarin vielen me twee dingen op. Allereerst moet ik een stukje software installeren waarmee men op afstand de telefoon kan overnemen en wissen. En ten tweede ben ik verplicht de telefoon af te geven als het bedrijf dat nodig acht in het kader van een rechtszaak. Kunnen ze dat zo eisen?

Dat wissen op afstand zie ik vaker bij BYOD policies (beleiden? beleids?). Het idee is dat als er bedrijfsdata op zo’n telefoon staat, en die telefoon gestolen of verloren raakt, de werkgever de schade kan beperken door de inhoud te wissen. Op zich logisch, en bij een zakelijke telefoon niet meer dan normaal denk ik. Maar bij een BYOD telefoon raakt dat natuurlijk óók privédata van de werknemer.

Het afgeven van de telefoon is een stukje conservatisme volgens mij. In met name de VS is het een ding dat je bij rechtszaken een discovery-procedure kunt krijgen, waarbij alle relevante documenten moeten worden afgegeven aan de wederpartij. Dat omvat ook elektronische documenten, dus dat kunnen ook bestanden op een BYOD-telefoon zijn.

In principe zullen die bestanden kopieën bevatten van gegevens van bedrijfsservers zijn, het hele punt is natuurlijk dat je dingen daar downloadt en gebruikt. Maar het is niet uit te sluiten dat er data op maar één plek staat (die telefoon), en dan moet de inhoud van die telefoon worden afgegeven. Dus dan komt er een stukje in het beleid dat je daaraan moet meewerken.

Daarnaast is er natuurlijk de mogelijkheid dat Justitie of een toezichthouder inzage eist in bedrijfsdata, en ook dan geldt dat die inzage er moet komen. Ook als dat bij een medewerker thuis ligt. Je hebt dan een medewerkingsplicht. Bij een fysiek dossier zal niemand dat gek vinden, die doos moet dan naar kantoor. Maar bij een BYOD telefoon voelt het ineens een stuk complexer.

Wat is dat toch, dat dingen ineens moeilijker zijn omdat er ICT in zit? Waarom is inzage in een fysiek dossier thuis niet gek en inzage in een telefoon wel?

Arnoud

Mag de werkgever je privételefoon gebruiken voor tweefactorauthenticatie?

| AE 8323 | Arbeidsrecht, Beveiliging | 56 reacties

Een lezer vroeg me: Vanwege de Wet datalekken is bij ons bedrijf de security aangescherpt. We moeten nu altijd met tweefactorauthenticatie inloggen: na aanmelden met wachtwoord krijg je een SMS met een code die je dan ook moet invoeren. Maar mensen die geen bedrijfstelefoon hebben, moeten nu hun privé-06-nummer opgeven. Mag ik dat weigeren? Ik… Lees verder

Gemeentemedewerker moet Facebookprotestberichten weghalen van werkgever

| AE 7677 | Arbeidsrecht, Meningsuiting | 9 reacties

Een medewerker van de gemeente Eindhoven, werkzaam bij het IJssportcentrum en tegenstander van het sluiten van deze accommodatie, heeft op last van zijn leidinggevende berichten van zijn Facebook-pagina tegen de voorgenomen sluiting moeten verwijderen. Dat las ik in het ED. De man had diverse posts geplaatst die het verzet tegen de sluiting ondersteunen. Merkwaardig zou… Lees verder

Mag mijn werkgever zomaar mijn inkomende post scannen en mailen?

| AE 7429 | Arbeidsrecht, E-mail, Privacy | 27 reacties

Een lezer vroeg me: Op mijn werk geldt sinds kort de regel dat alle papieren post centraal wordt geopend, gescand en per e-mail wordt doorgestuurd naar de medewerker. Dit “vanwege de efficiency”. Maar soms wordt die mail naar een centraal adres of een collega gestuurd. Ik voel me hier niet prettig bij, kan dit zomaar?… Lees verder

Mijn oude werkgever herpubliceert mijn artikelen!

| AE 5241 | Arbeidsrecht, Auteursrecht | 15 reacties

Een lezer vroeg me: Ik heb een aantal jaar gewerkt bij een online nieuwssite en ben onlangs overgestapt naar de concurrent. Echter, nu zie ik dat mijn ex-werkgever oude artikelen van mij herpubliceert met mijn naam erbij. Dat leidt dus tot de gekke situatie dat mensen denken dat ik bij allebei die bedrijven werken. Wat… Lees verder

Hacken van mailboxen tijdens een arbeidsconflict

| AE 5137 | Arbeidsrecht, E-mail | 21 reacties

Het zijn geen zinnen die je als werknemer over jezelf wil lezen: “Hierbij even een paar ideeën over een mogelijke ontslag procedure/tactiek.”, “Ik denk wel dat het verstandig is … of wij dit goed kunnen uitmelken ….”, :”nuclere optie. De bonnen waar contant geld is verdwenen uitspitten en tegen haar gebruiken.”, “haar houding met de… Lees verder