Mag je als werkgever bepalen wat er op een BYOD laptop geïnstalleerd wordt?

| AE 12537 | Ondernemingsvrijheid, Security | 18 reacties

Een lezer vroeg me:

Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega’s dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer als een groot risico, maar hoe zit het juridisch met deze positie?
Je kunt inderdaad werknemers een vergoeding via de werkkostenregeling geven voor de aanschaf van apparatuur zoals een laptop. Maar dat is inderdaad dan ook een privélaptop, waar de werknemer mee mag doen wat zhij wil. Inclusief installeren van gare software met adminrechten.

Als werkgever kun je dan natuurlijk zeggen dat die laptop niet veilig genoeg is om het werk mee te doen. Dat is je goed recht, alleen moet de werknemer dan wel een andere laptop krijgen om mee te kunnen werken.

Er is een uitzondering, en die heet de gerichte vrijstelling: als de laptop voor 90% of meer zakelijk gebruikt wordt, dan kun je de werknemer deze geven en gaat het bedrag niet uit deze regeling. Wel moet het dan noodzakelijk zijn:

‘Noodzakelijk’ betekent dat de werknemer zonder de voorziening zijn dienstbetrekking niet goed kan uitoefenen. Dat houdt in dat de werknemer de voorziening voor zijn werk nodig heeft en gebruikt. De mate van dat zakelijke gebruik is daarbij niet doorslaggevend.
In die situatie kun je de laptop als werklaptop zien en behandelen, inclusief veiligheidsrestricties die redelijkerwijs nodig zijn. Echt privé is de laptop dan niet: bij uitdiensttreden moet deze teruggegeven worden aan de werkgever.

Arnoud

Is cameratoezicht nu ineens verboden in Duitsland?

| AE 12460 | Ondernemingsvrijheid, Privacy | 1 reactie

Een lezer vroeg me:

Ik las dat een Duitse winkel een boete van 10 miljoen heeft gekregen omdat ze videotoezicht inzetten. Maar hoezo is dat nou ineens boetewaardig, elk bedrijf heeft toch videotoezicht tegenwoordig? Het ging om magazijnen en verkoopruimtes, niet echt plekken waar je privacy hebt toch?
Zeker twee jaar lang werd het personeel illegaal gefilmd op de werkvloer, magazijn en andere locaties terwijl hiervoor elke juridische grondslag ontbrak, aldus de Landesbeauftragte für den Datenschutz (LfD) van Nedersaksen, zeg maar de lokale Autoriteit Persoonsgegevens.

Dat klinkt inderdaad wat raar, want voor cameratoezicht is er in de AVG (die natuurlijk ook in Duitsland gewoon geldt) wel degelijk een grondslag: het zogeheten eigen gerechtvaardigd belang (artikel 6 lid 1 sub f AVG). Het bewaken van je eigendommen (of toezien op mensen) is een belang waarmee je de privacy mag inperken – mits je maar de nodige maatregelen neemt om dat zo beperkt mogelijk te doen. En dat is waar het misging.

Het belangrijkste punt waar de toezichthouder over valt, is dat naar camera’s is gegrepen zonder andere dingen te hebben geprobeerd. Geen random tassenonderzoek, geen menselijk toezicht (een manager die soms even komt kijken), maar direct camera’s ophangen. Gezien de impact van camera’s (die zien continu alles) is dat een té heftige eerste stap. Ook was er niet echt een concrete aanleiding, maar werd vanuit een algemeen idee van diefstalpreventie met camera’s gewerkt. Maar dat is niet hetzelfde als een noodzaak.

In een persbericht verweert het bedrijf zich door te stellen dat de camera’s primair gericht zijn op het logistieke proces: het opsporen en oplossen van problemen zoals beschadiging of vermissing van producten tussen ontvangst en verkoop. Kennelijk bedoelt men daarmee dat de camera’s niet direct mensen filmen maar laptops, mede omdat de CEO in het persbericht aangeeft dat ze als klein bedrijf echt niet mensen gaan beoordelen of aanspreken op basis van camerabeelden.

Ik snap het bezwaar van het bedrijf, maar de kern van de last van de toezichthouder is volgens mij een terecht punt. Camera’s zomaar inzetten “ter bestrijding van diefstal” is gewoon een te snel en te makkelijk middel, als je daarmee ook je medewerkers permanent in beeld krijgt. Of je nu daar wat mee doet of niet – alleen al de indruk dat men permanent gefilmd wordt, is genoeg om medewerkers het gevoel te geven dat ze in de gaten gehouden worden. En dat is nergens voor nodig, als er geen concrete aanleiding is.

Ik zou dus zeggen: die camera’s specifieker richten op de logistieke stroom, de mensen buiten beeld en inzicht geven in wat er wél wordt gefilmd.

Arnoud

Kan een werknemer worden verplicht een GPS-armband te dragen?

| AE 9759 | Privacy | 24 reacties

Een lezer vroeg me:

Als beveiliger bij een groot bedrijf kreeg ik enige tijd terug een GPS-armband om te dragen. Op mijn vraag waarom was het antwoord dat men zo kon zien waar ik was in geval van een calamiteit, ook geeft het bewijs aan de klant dat ik werkelijk mijn route loop. Echter, nu enkele maanden later blijkt dat mijn werkgever het ook gebruikt om mij aan te spreken op hoe ik mijn werk uitvoer. Ik sta te lang stil, loop niet exact het goede pad, houd pauze op de verkeerde plek en ga zo maar door. Kan dat zomaar, dat ik met zo’n armband op de centimeter gevolgd word?

In beginsel bepaalt de werkgever hoe het werk wordt uitgevoerd en welke spullen je daarbij moet gebruiken. Als een GPS-armband dus redelijkerwijs nodig is voor het werk, dan moet je die bij je dragen. Net zoals je je werktelefoon bij je moet hebben of je pet op moet als beveiliger, om eens wat te noemen.

Verschil tussen pet en armband is natuurlijk dat die armband wel even een stevige inbreuk op je privacy is. Wie toegang heeft tot de metingen, kan precies zien waar je bent. Dát vereist een stevige aparte rechtvaardiging én waarborgen om de privacy toch te beschermen. (Wie denkt dat je de beveiligers toestemming kunt laten geven: vergeet het maar, dat mogen werknemers juridisch niet doen.)

Die waarborgen moeten er met name voor zorgen dat je niet meer ziet dan waarvoor je de armband wilt gebruiken. In dit geval wil de klant de looproutes zien, daar kun je prima een geaggregeerde grafiek van laten zie. Maar waarom zou de werkgever live mee moeten kijken, én ook nog eens de werknemer aanspreken op rare loopjes? Op zijn minst zou ik een pauzeknop verwachten: wat je tijdens je pauze doet, gaat je werkgever niets aan.

Specifiek bij het beoordelen van werknemers geldt ook nog eens dat dat apart vooraf gemeld moet zijn én dat de ondernemingsraad (als die er is natuurlijk) hiermee ingestemd moet hebben. Dus wat hier gebeurt, kan eigenlijk gewoon echt niet.

Ik kan afgezien van de beveiliging en misschien een bezorgdienst weinig bedrijven bedenken waar zo’n armband überhaupt een reëel iets is om mensen te bevelen bij zich te hebben. Heel misschien bij topsporters, omdat daar je werk – je aan je trainschema houden – niet ophoudt zodra je het stadion verlaat. Maar ook daar zijn grenzen:

Het is inderdaad mogelijk om uit de data af te leiden wanneer spelers seks hebben, of te lang in de kroeg staan. Als de hartslag van een speler ’s nachts een piek heeft voor het slapen gaan, kun je wel raden wat hij net deed.

Arnoud

Bedrijven, hotels en instellingen mogen internet wél filteren

| AE 7874 | Ondernemingsvrijheid | 24 reacties

Oh en dat is wel een verrassing: in die beleidsregel van gisteren is tevens bepaald dat netneutraliteit alleen geldt voor openbare aanbieders van internet, niet voor private aanbieders zoals bedrijven (gastennetwerken), hotels en instellingen die hun bezoekers op internet laten. (Ik loop een beetje achter geloof ik, laatst ook al de datalekmeldplicht en beveiligingsboetes gemist.)… Lees verder

De persoonlijke aansprakelijkheid van bestuurders

| AE 5970 | Ondernemingsvrijheid | 5 reacties

Met enige regelmaat krijg ik vragen van internetondernemers die een bv willen oprichten (of een stichting) omdat ze hun aansprakelijkheid willen beperken. Dat kan (hoewel je altijd ook goed de fiscale implicaties moet doorrekenen met je boekhouder) maar het is geen 100% garantie. Een bestuurer kan wel degelijk in privé aansprakelijk zijn voor handelen van… Lees verder