Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.
Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.
Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en
stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.
Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:
Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.
Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:
WARNING
Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.
Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “
web security policy” overgenomen is (natuurlijk als zijnde
best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.
Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.
Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.
Arnoud
Een lezer vroeg me:
Een lezer vroeg me: