Mag je werknemers vragen of ze gevaccineerd zijn tegen het coronavirus?

| AE 12447 | Ondernemingsvrijheid, Privacy | 75 reacties

Een lezer vroeg me:

Als mijn werkgever van mij verlangt om aan te geven of ik Corona heb, dan wel mij heb laten testen of mij gevaccineerd heb. Is dat toegestaan, en maakt het uit of men dat eenmalig vraagt of het ook opslaat?
Of je besmet bent met het covid-19 virus dan wel daartegen gevaccineerd bent, of zelfs maar getest, dat zijn gezondheidsgegevens in de zin van de AVG. Het zijn immers gegevens “die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon”.

De wet is daar terecht streng in: die gegevens mogen eigenlijk niet worden verwerkt tenzij je in de wet een grondslag kunt aanwijzen waarom je het wél mag. En die is niet makkelijk te vinden, met name omdat je er altijd een noodzaak bij moet onderbouwen. Dus “het is handig” of zelfs “bij een uitbraak op kantoor gaan we failliet” is echt bij lange na niet genoeg.

Bij het temperaturen is de nodige discussie geweest. Iemands lichaamstemperatuur zegt wat (kan wat zeggen) over zijn gezondheid, dus wordt dat gegeven ook gezien als persoonsgegevens. De AP zegt daarover dat je deze niét mag nemen, tenzij je het zo doet dat het buiten de AVG valt. Dat wil zeggen: een niet-geautomatiseerde meting (dus géén warmtecamera), geen registratie of opslag van de meting en géén automatische handeling laten volgen op de meting (dus geen poortje dicht of claxon bij te hoge temperatuur).

Vragen of men gevaccineerd is of dat men besmet is (geweest), mag sowieso niet. Deze gegevens zijn ook medische persoonsgegevens, en dit registreren (in bijvoorbeeld personeelsdossier) is dus problematisch. Toestemming vragen aan personeel kan per definitie niet, want werknemers voelen zich niet vrij daarop te antwoorden. Plus: toestemming mag worden geweigerd zonder consequenties, dus wat ga je doen als een werknemer ‘nee’ zegt?

Als je om kunt gaan met werknemers die niet willen zeggen of ze besmet zijn, dan mag je het ze vragen – alleen, waarom vraag je het nog als het niet noodzakelijk is? Je hebt immers net gezegd, als ze nee zeggen, kan ik daarmee omgaan. Je werkplek is dus coronaproof en dan hoef je het niet meer te vragen. (Voor juristen: noodzaak en proportionaliteit geldt immers óók bij de toestemming als grondslag.)

In uitzonderlijke situaties zou het in het algemeen belang kunnen zijn om iemands besmetting of vaccinatie gedwongen te onthullen. De enige reële situatie lijkt te zijn in de zorg: je wilt dat een arts of verpleegkundige geen patiënten of collega’s besmet, en gezien de aard van het werk is de kans daarop veel groter dan bij andersoortig werk. Deze grond zou dus voor andere werkgevers niet mogelijk zijn om in te roepen.

Als je die benadering van temperaturen toepast op het vragen naar vaccinatie, dan zou je wellicht uitkomen bij de situatie dat de werkgever het mondeling vraagt (dus niet geautomatiseerd), de werknemer een briefje laat zien met zhaar status en de werkgever dan besluit of thuiswerken dan wel op kantoor werken toegestaan is.

Alleen; als thuiswerken mogelijk is, waarom komt die werknemer dan überhaupt naar kantoor? En als zhij op kantoor moet werken, waarom is de werkplek niet coronaproof? Iemand kan in de tijd tussen test en naar kantoor komen net besmet zijn, of uit principiële redenen niet gevaccineerd willen worden (of vanwege gezondheid niet kunnen worden). En als je werkplek coronaproof is, waarom moet je dan nog weten wie besmet dan wel gevaccineerd is?

 

Arnoud

Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Security | 30 reacties

oud-virus-drop-charactesEen lezer vroeg me:

Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?

In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. Bij malware zou je hooguit nog kunnen zeggen, deze malware was zó moeilijk tegen te houden dat je het mij niet kunt verwijten. Een besmetting als overmacht. Het kan, maar ik zou de lat daar wel hoog voor willen zien.

Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.

Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

Arnoud

Is een site aansprakelijk voor besmette advertenties?

| AE 6053 | Ondernemingsvrijheid | 12 reacties

Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het platform of die sites aansprakelijk kunnen stellen voor je schade?

Het verspreiden van virussen is natuurlijk strabaar (art. 350a Strafrecht):

Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Met de term “bestemd om schade aan te richten” worden dus virussen, Trojans en andere vormen van malware gedekt. Vroeger stond daar nog wat bij over “zichzelf vermenigvuldigen in een geautomatiseerd werk” zodat je je kon afvragen of een zuivere Trojan er ook onder zou vallen.

Met dit wetsartikel zijn de virusverspreiders dus aan te pakken. En natuurlijk zijn ze ook voor computervredebreuk te vervolgen – ze hebben immers een technische ingreep op de OpenX server van Adfactor gepleegd om deze zo iets te laten doen waar ze niet toe bevoegd waren. Maar ja, vind ze maar eens.

Wat veel mensen echter niet weten, is dat er naast artikel 350a ook nog een artikel 350b Strafrecht is dat over virusverspreiding gaat. En dát artikel biedt een optie om ook eens met gefronste strafrechtwenkbrauwen te kijken naar Adfactor of de sites die via dat netwerk advertenties laten zien:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Het verschil zit hem in “wiens schuld te wijten” versus “wie verspreidt”. Wie verspreidt, kiest daar actief voor. Wie schuld heeft, heeft dat niet actief gekozen maar was wel een beetje dom bezig, zeg maar. Lichtzinnigheid (“dat valt wel mee, gebeurt toch niet”) of niet genoeg nadenken terwijl dat wel had gemoeten. Beiden zijn vormen van nalatigheid.

En dat biedt dan perspectieven: kun je een advertentienetwerk zulke nalatigheid verwijten? Hoe hard moet je je servers en software controleren, welke mate van nadenken mag je verwachten van zo’n platformbeheerder of van de site waar de advertenties op komen te staan?

Ik ben geneigd te zeggen, dit mag gewoon niet gebeuren klaar – maar dat is onrealistisch, er kan altijd een zeer geavanceerde hack langskomen waar gewoon écht niets aan te doen is. Plus, het blijft mensenwerk dus fouten kunnen altijd gebeuren. Een fout betekent niet automatisch nalatigheid. Maar waar leg je dan de grens? Hebben jullie een suggestie?

Arnoud