Als werknemers gaan WhatsAppen met elkaar, is dat dan privé of een datalek?

Een lezer vroeg me:

In ons bedrijf zien we dat veel werknemers elkaar ‘op de app’ hebben, ze hebben op hun (vaak zakelijke, maar soms privé) telefoons WhatsApp geïnstalleerd en voegen elkaar toe. Dat is vaak werkoverleg, afstemmen van afspraken en dergelijke, soms ook privégebabbel. Nu is bij één werknemer het WhatsApp account gekaapt en zo heeft de kaper dus de gegevens (en chats) van die collega’s te pakken gekregen. Is dat een datalek en zijn wij daarvoor verantwoordelijk?
Dit is weer zo’n casus die laat zien waarom analogieën niet goed werken bij internetrecht. Want wat is in vredesnaam de analogie hier?

Eerste dat in me opkomt: collega’s die afspreken in het café wellicht. Daar komen ze elkaar tegen, ze wisselen elkaars nummer uit of noteren dingen op het prikbord van het café zodat ze dat kunnen zien. Dat zouden we een privéaangelegenheid noemen, en pas als er serieuze overlast kwam van die collega’s dan zou de werkgever er wellicht wat van kunnen zeggen.

Nee he, is het ook niet. Want die mix van zakelijke en privé communicatiemiddelen die doet het hem wel hier. En daar is niet echt een analogie voor.

Dus dan draai ik hem om, laten we beginnen bij het probleem. Een ongeautoriseerde derde heeft met een technische truc toegang gekregen tot zakelijke chats en contactgegevens van medewerkers van bedrijf X. Dat die mogelijk op privéapparaten lagen, doet er niet toe. Mijn aktetas is ook privé, diefstal van de inhoud daarvan is toch echt een zakelijke aangelegenheid.

Alleen: wie is verantwoordelijk voor die gegevens? Nou ja, dan zou ik dus zeggen net als bij die aktetas – de werkgever dus. Die staat mij toe dat mee naar huis te nemen in mijn eigen tas. Zijn risico. En natuurlijk dat gaat al 100 jaar goed met aktetassen*, maar dat doet niet af aan het principe.

Die lijn doortrekkend krijg je dus: al die gegevens in die WhatsApp accounts zijn zakelijk en de werkgever is daarvoor verantwoordelijk. Dus datalek en dus meldingsplicht vanuit de werkgever.

Alleen voelt dat ook weer zo raar, het is toch míjn telefoon en mijn contactenlijst met daarin toevallig collega’s Daan, Peter en Lisette. Ja, maar niet helemaal: die gegevens heb je via het werk verkregen om het werk beter uit te voeren. Dus toch zakelijk. Of toch niet, kreeg je die werk-06 om zakelijk met ze te bellen of om onzakelijk te chatten? Als ik een pakje op kantoor laat bezorgen, is dat ook geen zakelijke bestelling maar handig gebruik van iets waar ik bij kan.

Uiteindelijk bekijk ik het dan toch maar als een formele kwestie. En formeel zijn die contactgegevens door de werkgever verstrekt voor het werk. Dat de werknemer daarmee van alles privé mag doen, verandert daar niets aan. Ook niet als dat volkomen normaal is, dat privégebruik. Dus is het lekken daarvan een beveiligingsgebrek dat je de werkgever aanrekent. Idem voor de chats, voor zover daar zakelijke informatie in te vinden is.

Anders is dat bij de privénummers die collega’s elkaar geven. Die – en de privéchats – hebben niets met werk te maken en staan er dus los van.

Arnoud * Ik was vandaag jaar oud toen ik doorhad dat een aktetas een aktetas heet omdat je er aktes in vervoert.


Mag mijn werkgever me bellen op mijn privé-06-nummer?

telefoon.jpgEen lezer vroeg me:

Binnenkort is mijn beoordelingsgesprek. Ik heb me ziek gemeld omdat ik de spanning echt niet meer trek: ze hebben zó zitten zoeken en vitten de laatste tijd dat ik weet dat ze me negatief gaan beoordelen en dat kan ik niet aan, dat is niet eerlijk. Nu heeft mijn werkgever op internet mijn 06-nummer gevonden en me daarop gebeld om door te geven dat de datum is verzet tot na mijn beoordeling. Mag hij dit zomaar doen? Dat is toch een schending van mijn privacy!

Het hangt er een beetje vanaf waar het 06-nummer stond. Als dit in de telefoongids vermeld was, dan zie ik niet welke wet overtreden wordt. Staat het op het besloten deel van bijvoorbeeld een verenigingswebsite en heeft de werkgever zich met een slinkse truc daar toegang tot verschaft, dan lijkt me dat juridisch niet in de haak.

Echter, het is niet zo dat een juridische fout van de werkgever automatisch al zijn vervolgacties diskwalificeert. Dat gebeurt alleen in slechte Amerikaanse rechtbankseries.

Zelfs als het opzoeken van dat nummer onterecht is, dan nog betekent dat dus niet dat hij er niet mee mag bellen. Het zou hooguit betekenen dat hij de hierdoor veroorzaakte schade moet vergoeden, maar wat die schade is, kan ik niet bedenken.

Een brief sturen had ook gekund, en dat is legaal want de werkgever weet per definitie al waar je woont. En een brief kan een stuk harder overkomen dan een telefoongesprek, dus je kunt zelfs zeggen dat de werkgever hier vriendelijker bezig is dan had gehoeven.

Natuurlijk voelt het een tikje raar om iemands 06-nummer op internet te gaan zoeken, maar ‘raar’ betekent nog niet dat er juridisch iets mis mee is.

Arnoud

Is een privé betaalde licentie van mij of van het werk?

safari_license_agreement.jpgEen lezer vroeg me:

Als ik zelf software koop om te gebruiken voor mijn werk ( omdat mijn werkgever niet met paypal kan betalen ), en ik krijg dat aankoop bedrag terug als onkosten-vergoeding. Wie is dan de eigenaar van de software/licentie?

Normaal zou ik zeggen dat je die aanschaf echt zakelijk hebt gedaan. Het was immers voor je werk en met instemming van je werkgever. Dat je het dan privé betaalt en het geld terugkrijgt, lijkt me een bijzaak.

Net zoals je zakelijk inkopen doet als je bij de kantoorboekhandel spullen koopt en privé betaalt en declareert. Die aankooptransactie was ook bedoeld voor het werk. Wie betaalt, is niet doorslaggevend voor de vraag wie de kooptransactie verrichte. Als werknemer en werkgever beiden weten dat de aankoop voor het werk is, dan is die dat. En het geld komt dan apart wel goed.

De licentie staat hier echter op je eigen naam. Dat compliceert de zaak enigszins, want nu zou de licentiegever kunnen denken dat deze voor privégebruik is aangeschaft. Hij weet in ieder geval niet dat het bedrijf de licentienemer is. En dat zou problemen kunnen opleveren als de licentiegever erachter komt en een auteursrechtclaim legt.

Praktisch gezien is natuurlijk de vraag, komt hij er ooit achter. Maar stel dat hij dat doet, dan moet je werkgever dus aantonen dat hij de koop geautoriseerd heeft en dat het invullen van jouw persoonsnaam even tijdelijk nodig was om de transactie af te ronden. Dat is niet het probleem van de werknemer op zich, maar het is wel verstandig om deze reden om dit toch even op papier vast te leggen.

Arnoud