Regelmatig krijg ik vragen over het fenomeen “Bring your own device”. Het idee is kort gezegd dat je als werkgever toestaat dat werknemers hun eigen apparaten gebruiken op het werk of voor het werk, omdat die mensen zelf beter de spullen kunnen uitzoeken dan jij. Plus, ze gebruiken ze ook thuis dus je hebt meteen een handige thuiswerkregeling. Maar zoals dat gaat bij nieuwe ICT-dingen: iemand roept “mag dat eigenlijk wel” en de juridische vragen (en congressen à 699 euro) zijn niet van de lucht.
De vraag die ik over BYOD het meeste krijg, is “wie is aansprakelijk bij problemen”. Want dat lijkt de grootste angst te zijn: werknemers nemen smartphones vol met malware mee, ze zetten klantenlijsten op USB-sticks die ze kwijtraken in de Albert Heijn of ze gaan werken op een laptop met illegale software en dan zul je zien dat net dan de BSA zich aan de balie meldt. Graag zouden werkgevers daar de werknemer voor aansprakelijk houden, of hoe zit dat?
Werknemers aansprakelijk houden voor wat dan ook is juridisch erg moeilijk. De werkgever bepaalt hoe het werk wordt uitgevoerd en kan daarbij werkinstructies geven waar de werknemer zich aan moet houden. Voor ICT wordt dat vaak in een reglement of policy uitgewerkt. Het is daarbij een misverstand dat je dit moet accorderen of dat zulke regels in je arbeidsovereenkomst moeten staan. Het reglement bevat instructies over hoe het werk uit te voeren, en dat is gewoon de bevoegdheid van de werkgever.
Omdat de werkgever zo veel zeggenschap heeft, is hij dan ook in principe altijd de verantwoordelijke partij voor problemen. Zo bepaalt de wet dat de werkgever de “gereedschappen” waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden. Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het BYOD van de werknemer schade berokkent. Mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.
Omgekeerd is de werknemer naar de werkgever toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid. Een laptop die ‘gewoon’ een virus heeft, is dus het probleem van de werkgever. Zou de werknemer opzettelijk malware loslaten, dan is hij natuurlijk wél aansprakelijk. Dit geldt ook naar derden toe – als een glazenwasser bij mij een vaas omschopt, is het bedrijf aansprakelijk voor mijn schade en niet die specifieke glazenwassende medewerker als persoon. Idem voor de klant die zijn geheime informatie verspreid ziet door een BYOD-gebruikende werknemer. Die klant kan alleen de werkgever aansprakelijk stellen.
Dit soort dingen zijn dwingend recht, dus je kunt er niet eenvoudig van afwijken met een ICT-reglement of “BYOD policy”. Niet dat dat veel bedrijven zal tegenhouden; reken maar dat er heel wat “BYOD is op risico werknemer” of “Werknemer is ten volle aansprakelijk voor alle schade die werkgever lijdt door onjuist ingezette BYOD middelen” clausules geschreven gaan worden de komende tijd.
Wie werkt er nu al met BYOD? Zijn er regels, of heb je een slimme werkgever die het gewoon technisch dichttimmert?
Arnoud