Oh, je baas mag toch niet meegluren in je privéberichten op je werk?

| AE 9661 | Arbeidsrecht, Privacy | 2 reacties

Het Europese Hof voor de Rechten van de Mens heeft in een uitspraak bepaald dat bedrijven hun werknemers moeten inlichten op het moment dat hun digitale communicatie vanaf de werkplek in de gaten wordt gehouden. Dat meldde Tweakers vorige week. Een werknemer had een zakelijk Yahoo Messenger account aangemaakt om daarmee met klanten te kunnen chatten. De werkgever monitorde dit account en constateerde op zeker moment dat er privécommunicatie (met onder meer zijn broer en zijn verloofde) was geweest, en gebruikte dat als grond voor ontslag. Het EHRM corrigeert de uitspraak: de werknemer was niet vooraf specifiek geïnformeerd, en dus was het ontslag onterecht.

De uitspraak is een vervolg op deze zaak uit 2016. Destijds werd vooral op de inhoud beslist: het account was aangemaakt voor zakelijke doeleinden, waardoor het al vrij snel redelijk is dat de werkgever daarin kijkt. Dat Yahoo Messenger een typisch consumentenchatprogramma is, doet daar niet aan af. Verder werden de berichten niet inhoudelijk bekeken in de rechtszaak, maar werd heel snel vastgesteld dat het privécommunicatie betrof, waarna de rest van de zaak ging over of duidelijk was gemeld dat dat niet mocht, hoe ernstig alles was et cetera.

De werkgever gaat echter toch onderuit op het formele aspect van notificatie, de inlichtingenplicht uit de Wet bescherming persoonsgegevens en vanaf volgend jaar de Algemene Verordening Gegevensbescherming. Deze vereist kort gezegd dat de betrokkene duidelijk wordt geïnformeerd over het wat en hoe van de gegevensverwerking.

In deze zaak was geen duidelijk reglement verstrekt waarin werd uitgewerkt onder welke omstandigheden overgegaan zou worden tot monitoring van privégebruik van ICT-middelen. Weliswaar was een andere werknemer recent ook ontslagen vanwege dergelijk privégebruik, maar dat is als informatie onvoldoende voor werknemers om te weten te komen wat de aard en scope van monitoring van dergelijke middelen is. Daarnaast was het algemene reglement met een verbod op privégebruik van ICT-middelen wel verstrekt, maar dat bevatte geen waarschuwing dat gemonitord kon worden om dit verbod te handhaven.

Ook was niet duidelijk genoeg specifiek gemotiveerd waarom monitoring in dit geval nodig zou zijn. Het lijkt erop dat de monitoring als algemeen middel werd ingezet en niet specifiek tegen deze persoon omdat er gegronde vermoedens waren gerezen van privégebruik. Dat is dan te snel naar een zwaar middel gegrepen zonder na te denken of het anders kon.

Daarnaast wordt het nationale vonnis vernietigd met het argument dat te weinig naar subsidiariteit is gekeken. Het Hof ziet de monitoring van ICT-communicatie als een zwaar middel, waardoor dit zwaarwegend in de afweging van belangen moet worden betrokken. Bij voorkeur kan de werkgever geen privécommunicatie lezen, maar moet worden volstaan met het bepalen of gesprekken privé zijn. Dat zou bijvoorbeeld kunnen door te constateren dat de wederpartij in de communicatie niet bekend is als klant, waarna de werknemer kan worden gevraagd of deze persoon wellicht toch een zakelijke relatie is (denk aan mensen die liever vanaf een privéadres chatten of thuiswerken en geen zakelijk account kunnen gebruiken). Hier werd direct naar het zwaarste middel gegrepen, en dat kan dus niet door de beugel.

Ik roep het vaker, maar het is echt van groot belang dat je een reglement maakt waarin je specifiek uitwerkt wat je bedrijfsbeleid is rond monitoring. En dan dus niet met dooddoeners als “vanwege security kan monitoring plaatsvinden” maar benoem de vormen van monitoring: aan/uitzetten van chatapplicaties, automatisch lezen van verkeersgegevens, automatische analyses van inhoud, handmatige kennisname van inhoud. Wie kan hierbij en waarom? Waarom is privégebruik verboden, hoe ver strekt dat verbod en wat zijn de (proportionele) sancties op overtreding?

Arnoud

Schoolcomputer slaat alarm bij zoekopdracht ‘jihad’

| AE 7767 | Privacy | 21 reacties

keyboardLeerlingen die via de schoolcomputer zoeken naar of spreken over de jihad, kunnen in de toekomst een bezoekje verwachten van de vertrouwenspersoon. Dat las ik bij het AD gisteren. De krant typte een persbericht over van stichting Importunus dat software maakt die netwerkverkeer op ongewenste trefwoorden (“stomme school, ik ga naar Syrie meevechten in de jihad #yodo”) scant en dan een screenshot doorgeeft. Men wil daar een trefwoordenbestand maken dat over de jihad gaat, in plaats van alleen pest-trefwoorden of gescheld denk ik dan. Maar het roept bij mij meteen de vraag op: eh, wacht, wàt?

Systemen die op school netwerkverkeer of computers scannen op ongewenste dingen, bestaan al veel langer. Op zich is het niet raar dat een school pestgedrag en ander ongewenst gedrag wil monitoren, net zoals men wil monitoren wat de kinderen uitvreten op het schoolplein of achter het fietsenhok. Maar er zit natuurlijk wel een verschil tussen een leraar die even zijn hoofd naar buiten steekt en een stuk software dat elke conversatie checkt en bij een match op ‘poep’ een vertrouwenspersoon mailt.

Het is dan ook niet verwonderlijk dat het Cbp hier wat van vindt (bij BNR):

Als uiteindelijk het idee is voor een soort massaal volgsysteem voor kinderen – scholieren, onschuldige kinderen – dan gaat het om een zo massale inbreuk op de persoonlijke levenssfeer als ik het zwaar mag zeggen (…). Dan moet echt de allereerste vraag zijn: is dit, in dit verband en in deze context, nu echt nodig en kan dat nou niet anders?

(Meelezende juristen herkennen hier de wettelijke criteria ‘proportionaliteit’ en ‘subsidiariteit’.) Wat me dan gelijk verbaast, is dat de hier geciteerde Cbp-vicevoorzitter klinkt alsof dit de eerste keer is dat netwerkverkeer van leerlingen wordt gemonitord. Dit is echt niet nieuw, menig school doet dit al jaren. Stukje zorgplicht naar de ouders toe, zeg maar. Dus waarom is dit nu zo’n hype, dat je ‘yodo’ en ‘jihad’ kunt toevoegen aan die woordenlijst?

Meer algemeen: waarom is het géén hype dat leerlingen massaal worden gevolgd en gemonitord bij hun computergebruik?

Arnoud