Een popup bij het inloggen is geen toestemming om je mail te lezen

| AE 13102 | Ondernemingsvrijheid, Privacy | 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.

Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.

Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en

stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.
Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:
Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.
Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:
WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.

Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.

Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “web security policy” overgenomen is (natuurlijk als zijnde best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.

Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.

Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.

Arnoud

 

Werknemers zien werkgevers vaker monitoringsoftware inzetten

| AE 12400 | Ondernemingsvrijheid | 12 reacties

Sinds werknemers vanwege de coronamaatregelen thuiswerken wordt er vaker door werkgevers gebruikgemaakt van monitoringsoftware om het personeel in de gaten te houden. Dat meldde Security.nl onlangs. Een enquête van GetApp onder ruim duizend Nederlandse werknemers en tweehonderd managers uit het mkb laat zien dat 65 procent van de managers claimt “meer vertrouwen in het personeel te hebben gekregen” door inzet van de software. Gek genoeg vindt meer dan de helft van de medewerkers het niet prettig dat ze wordt gevolgd. En ik durf de stelling wel aan dat die werkgevers stuk voor stuk de AVG overtreden (en het arbeidsrecht).

Mijn handen jeuken als ik dan lees over toestemmingsformulieren, want natúúrlijk gaan werkgevers dan toestemmingsformulieren maken. Hou daarmee op, het heeft geen enkele zin en je vernietigt iedere kans dat je legaal monitort. Want werknemers kunnen niet vrijelijk toestemming geven, da’s een. En twee is dat als jij claimt op grond van toestemming te werken (die trouwens op ieder moment ingetrokken gaat worden) en dat blijkt niet te kunnen, dat je dan niet ineens alsnog mag gaan zitten op “noodzaak uitvoering arbeidsovereenkomst” of een andere grondslag. Dan ben je gewoon af.

Want ja, het moet en het zal op die noodzaak voor het werk. Of, zo je wil, op grond van een eigen gerechtvaardigd belang dat de privacy van de werknemer kan passeren. Die noodzaak voor het werk zal er zelden zijn, zeker bij kantoorwerk. Hoe essentieel is het dan werkelijk dat je nagaat of iemand van 9 tot 5 (minus lunchpauze) achter de laptop zit en typt? Dat krijg je echt niet rond: op kantoor mogen mensen ook af en toe opstaan, met collega’s praten, naar de wc gaan, de benen strekken enzovoorts.

Ook met dat eigen belang kom je er niet. De redenering is eigenlijk dezelfde, er is geen nóódzaak. Het werk kan ook prima zonder toezicht. Al is het maar omdat je op output kunt monitoren. Als je daar dus op stuurt, krijg je hetzelfde resultaat zonder de privacy-schending.

En ja, als er dus werk is waarbij je mensen móet afrekenen op elke minuut werken, dan zou dat anders kunnen liggen. Maar noem mij eens een beroep waarbij het gaat om het aantal toetsaanslagen en fysieke presence achter de laptop? Ja, de chathelpdesk misschien. Daar wil je inderdaad dat er snel wordt gereageerd op een klantvraag en dat men niet wegloopt voor koffie halverwege een chat. (Ik zal maar niet zeggen dat in winkels het “momentje, ik kijk even in het magazijn voor u” vaak ook daarvoor was.) Maar ook dan kun je meten op andere zaken dan het live meekijken.

Bij het AD wordt een bedrijfsmediator geciteerd die het ziet als een door stress ingegeven reactie, want corona, omzetverlies en geen zicht meer op je mensen:

Maar volgens Diercks is dit eigenlijk een heel onvolwassen houding. Dat is zeker het geval als je het personeel gaat controleren. ,,Het is een soort ouderschap. Dan is de reactie van de werknemers dat ze zich als kind gaan gedragen, sommige zullen zich tegen je gaan verzetten. Hoe minder vertrouwen je geeft, hoe minder je terugkrijgt van je personeel.” Daarnaast krijgen werknemers last van stress als ze het idee hebben in de gaten te worden gehouden. ,,Zo’n onveilige situatie kost energie. En omdat je veel tijd aan je werk besteedt, loopt die emmer een keer over.”
Daarnaast zou het me zéér verbazen als bij deze mkb-bedrijven de OR is gevraagd om instemming. (Ja, een OR moet vanaf 50 medewerkers maar mkb is tot 250.) En toch moet dat: structureel mensen volgen om te zien hoe ze werken, is een regeling rond “controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen” en natuurlijk een “regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens”. Bij die instemming moeten doel, scope, omvang en dergelijke zijn voorgelegd. En dan zou een OR zeggen, oh ja leuk volg iedereen maar? Ik geloof er niets van.

Arnoud

Oh, je baas mag toch niet meegluren in je privéberichten op je werk?

| AE 9661 | Ondernemingsvrijheid, Privacy | 2 reacties

Het Europese Hof voor de Rechten van de Mens heeft in een uitspraak bepaald dat bedrijven hun werknemers moeten inlichten op het moment dat hun digitale communicatie vanaf de werkplek in de gaten wordt gehouden. Dat meldde Tweakers vorige week. Een werknemer had een zakelijk Yahoo Messenger account aangemaakt om daarmee met klanten te kunnen chatten. De werkgever monitorde dit account en constateerde op zeker moment dat er privécommunicatie (met onder meer zijn broer en zijn verloofde) was geweest, en gebruikte dat als grond voor ontslag. Het EHRM corrigeert de uitspraak: de werknemer was niet vooraf specifiek geïnformeerd, en dus was het ontslag onterecht.

De uitspraak is een vervolg op deze zaak uit 2016. Destijds werd vooral op de inhoud beslist: het account was aangemaakt voor zakelijke doeleinden, waardoor het al vrij snel redelijk is dat de werkgever daarin kijkt. Dat Yahoo Messenger een typisch consumentenchatprogramma is, doet daar niet aan af. Verder werden de berichten niet inhoudelijk bekeken in de rechtszaak, maar werd heel snel vastgesteld dat het privécommunicatie betrof, waarna de rest van de zaak ging over of duidelijk was gemeld dat dat niet mocht, hoe ernstig alles was et cetera.

De werkgever gaat echter toch onderuit op het formele aspect van notificatie, de inlichtingenplicht uit de Wet bescherming persoonsgegevens en vanaf volgend jaar de Algemene Verordening Gegevensbescherming. Deze vereist kort gezegd dat de betrokkene duidelijk wordt geïnformeerd over het wat en hoe van de gegevensverwerking.

In deze zaak was geen duidelijk reglement verstrekt waarin werd uitgewerkt onder welke omstandigheden overgegaan zou worden tot monitoring van privégebruik van ICT-middelen. Weliswaar was een andere werknemer recent ook ontslagen vanwege dergelijk privégebruik, maar dat is als informatie onvoldoende voor werknemers om te weten te komen wat de aard en scope van monitoring van dergelijke middelen is. Daarnaast was het algemene reglement met een verbod op privégebruik van ICT-middelen wel verstrekt, maar dat bevatte geen waarschuwing dat gemonitord kon worden om dit verbod te handhaven.

Ook was niet duidelijk genoeg specifiek gemotiveerd waarom monitoring in dit geval nodig zou zijn. Het lijkt erop dat de monitoring als algemeen middel werd ingezet en niet specifiek tegen deze persoon omdat er gegronde vermoedens waren gerezen van privégebruik. Dat is dan te snel naar een zwaar middel gegrepen zonder na te denken of het anders kon.

Daarnaast wordt het nationale vonnis vernietigd met het argument dat te weinig naar subsidiariteit is gekeken. Het Hof ziet de monitoring van ICT-communicatie als een zwaar middel, waardoor dit zwaarwegend in de afweging van belangen moet worden betrokken. Bij voorkeur kan de werkgever geen privécommunicatie lezen, maar moet worden volstaan met het bepalen of gesprekken privé zijn. Dat zou bijvoorbeeld kunnen door te constateren dat de wederpartij in de communicatie niet bekend is als klant, waarna de werknemer kan worden gevraagd of deze persoon wellicht toch een zakelijke relatie is (denk aan mensen die liever vanaf een privéadres chatten of thuiswerken en geen zakelijk account kunnen gebruiken). Hier werd direct naar het zwaarste middel gegrepen, en dat kan dus niet door de beugel.

Ik roep het vaker, maar het is echt van groot belang dat je een reglement maakt waarin je specifiek uitwerkt wat je bedrijfsbeleid is rond monitoring. En dan dus niet met dooddoeners als “vanwege security kan monitoring plaatsvinden” maar benoem de vormen van monitoring: aan/uitzetten van chatapplicaties, automatisch lezen van verkeersgegevens, automatische analyses van inhoud, handmatige kennisname van inhoud. Wie kan hierbij en waarom? Waarom is privégebruik verboden, hoe ver strekt dat verbod en wat zijn de (proportionele) sancties op overtreding?

Arnoud

Schoolcomputer slaat alarm bij zoekopdracht ‘jihad’

| AE 7767 | Privacy | 21 reacties

Leerlingen die via de schoolcomputer zoeken naar of spreken over de jihad, kunnen in de toekomst een bezoekje verwachten van de vertrouwenspersoon. Dat las ik bij het AD gisteren. De krant typte een persbericht over van stichting Importunus dat software maakt die netwerkverkeer op ongewenste trefwoorden (“stomme school, ik ga naar Syrie meevechten in de… Lees verder