Als je eerder op je werk moet komen omdat het inloggen tien minuten duurt, dan ben je dus gewoon tien minuten eerder aan het werk.

| AE 13282 | Ondernemingsvrijheid | 38 reacties

Je zou zeggen dat dit logisch is. Maar nee: een Zuid-Hollands callcenter dat eist dat werknemers tien minuten voor het begin van hun werktijd aanwezig zijn om in te loggen, moet een medewerker voor die minuten gaan betalen. Dat meldde RTL Nieuws vorige week. Het bedrijf Teleperformance eist dit zodat mensen stipt om 9 uur kunnen beginnen met de verwerking van telefoontjes, dit vanwege de SLA met hun klanten. Dat is geen werk, aldus het bedrijf: “[Het gaat erom dat mensen] dermate op tijd inloggen dat zij voorafgaand aan de aanvang van hun dienst desgewenst nog even rustig wat te drinken kunnen pakken en gebruik kunnen maken van het toilet.” Welles, aldus de rechtbank, want jij zegt dat ze er tien voor negen moeten zijn en iets voor jou moeten doen (namelijk inloggen).

Het vonnis is al uit december maar pas onlangs gepubliceerd. Een werknemer eiste van Teleperformance uitbetaling van achterstallig salaris, namelijk elke werkdag 10 minuten voor de normale starttijd van 9 uur aanwezig zijn en werk doen. Dat komt neer op een bedrag van € 1.587,03 bruto plus vakantiegeld, oh ja en wettelijke verhoging van 50% omdat het nu pas wordt betaald.

Het argument is dan, als je er om tien voor negen moet zijn, en dan dingen moet doen die je werkgever je opdraagt, dan ben je dus aan het werken. En wie werkt, heeft recht op loon. Dat is bijvoorbeeld in 2020 bij een supermarkt bepaald, waar werknemers pas naar buiten mochten als iedereen klaar was met werken, wat tot 15 minuten wachten kon leiden. Dat is werktijd, aldus de rechtbank toen: beschikbaar zijn voor werkopdrachten telt als “arbeid”, ook al sta je alleen maar te wachten en misschien ben je dan privézaken op je telefoon aan het doen. Als je werkgever je hád kunnen zeggen “ga nog even het magazijn vegen”, dan is het werktijd.

De werkgever hier had het als volgt opgeschreven in het planningsreglement:

3. Het is de bedoeling dat je, volgens het aan jou uitgereikte rooster je werkzaamheden verricht. Dat wil zeggen dat je je zowel aan de werktijden als aan de pauzetijden houdt. Door het webstation altijd open te hebben, ben je altijd van alle tijden op de hoogte. 09.00 uur beginnen betekent exact om 09.00 uur klaar zitten om je eerste call aan te nemen dan wel te maken. Meld je daarom altijd 10 minuten voor aanvang van je dienst bij je supervisor, dan ben je nooit te laat.
Ik ben ook benieuwd waarom inloggen tien minuten moet duren. Zelfs met mijn Mijn Documenten-map van 3 gig duurt het hier maar 40 seconden. Maar gelukkig was de werknemer specifiek in de omschrijving:
[Bij de mondelinge behandeling] is naar voren gekomen dat [eiser] voorafgaand aan het opnemen of starten van zijn eerste call het volgende moet doen: de pc aanzetten en het opstarten van 1) het urenregistratiesysteem, 2) het rooster, 3) het e-mail programma, (inclusief bekijken ingekomen e-mail), 4) het klantensysteem, 5) de agenda (o.a. voor terugbelverzoeken), 6) de community (forum), 7) de e-shop tool Nederland, 8) de e-shop tool België, 9) de remote call (teamviewer) en 10) het kladblok. Bij negen van de tien genoemde programma’s moet door de werknemer worden ingelogd met een inlognaam die steeds hetzelfde is en een wachtwoord dat in het algemeen ook hetzelfde is maar wel moet worden ingevoerd. Het laatste programma (het kladblok) hoeft alleen aangeklikt te worden. De programma’s moeten allemaal klaar staan om de klanten die inbellen of gebeld gaan worden te woord te kunnen staan. Verder is tussen partijen vast komen te staan dat nadat alle tien de programma’s zijn opgestart, nog op een zogenaamde ‘groene knop’ moet worden geklikt om in te loggen in het belsysteem (een aux-code-systeem). Dat inloggen mag niet te vroeg gebeuren omdat dan het scherm van de leidinggevende ‘vervuild’.
Elders was vermeld dat er sancties staan op het niet exact om 9.00 klaar zitten. En zie wel hoe dit enige minuten gaat duren. Hoe veel precies zal van dag tot dag verschillen, algemeen bekend is immers dat netwerksnelheden en laadtijden weers- en maanstandafhankelijk zijn. Maar Teleperformance heeft daar, aldus de rechtbank, goed over nagedacht en is uitgekomen op een gemiddelde van tien minuten. Dat is dus arbeidstijd:
Het gaat immers wel degelijk om tijd waarin instructies van Teleperformance gelden, te weten het opstarten van alle programma’s die voor het uitvoeren van het werk nodig zijn. Het gaat dus om voorbereidende werkzaamheden die nodig zijn om de telefoonwerkzaamheden uit te kunnen voeren. Omdat [eiser] op grond van de Planningsregels tien minuten voor aanvang van zijn dienst aanwezig dient te zijn, moet worden aangenomen dat de voorbereidende werkzaamheden tien minuten in beslag nemen.
De hiervoor gemaakte uren moeten dus worden betaald, en omdat Teleperformance niet inhoudelijk de berekening had betwist wordt de hele eis toegewezen, een slordige 6.500 euro. Daar had je toch een aardig automatisch-opstartenscript voor kunnen laten bouwen lijkt me.

Arnoud

Is een portscan strafbaar?

| AE 6593 | Security | 33 reacties

portscanEen lezer vroeg me:

Op mijn thuisserver zie ik met zeer grote regelmaat portscans voorbij komen. Is dat eigenlijk niet strafbaar en wat kan ik er juridisch tegen doen?

Een portscan (port scan?) is een technisch hulpmiddel om vast te stellen welke diensten een bepaalde server aanbiedt. Diensten (services) zijn via verschillende adressen op een en dezelfde server – poorten, letterlijk eigenlijk ‘havens’ maar goed – bereikbaar. Zo werkt http via poort 80, en verstuur je mail via poort 25.

Weten welke diensten een server aanbiedt, en vooral welke software daarbij wordt ingezet, is handig om te weten als je van plan bent in te breken op die server. Door op alle poorten een communicatie te starten, krijg je die informatie want vrijwel alle serversoftware identificeert zichzelf daarbij. En dan kun je per stukje software opzoeken welke bekende kwetsbaarheden deze heeft.

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit. Die software draait op een bekende poort, en hij geeft volgens het protocol de gebruikelijke reactie. Dat is net zo min strafbaar als aanbellen of het naamkaartje lezen bij een voordeur. En normaliter zal een portscan een server niet laten crashen, dus dat is dan ook geen “veroorzaken van een stoornis in de werking van een geautomatiseerd werk” (art. 161sexies Sr). Tenzij je het zo veel en vaak doet dat je van een denial of service-aanval kunt spreken.

Toch riekt dit naar niet de bedoeling, en het verbaast dan ook niet dat het strafrecht daar wat op gevonden heeft. Twee man die ’s nachts om drie uur met een bivakmuts en een breekijzer in iemands portiek staan, dat voelt ook niet helemaal jofel dus daar wil je als agent tegen kunnen optreden. En dat kan: het strafrecht kent de ‘poging tot’, artikel 45 lid 1 Sr:

Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard

Er moet dus sprake zijn van een poging tot plegen van een misdrijf, een overtreding proberen te plegen is niet strafbaar. En er moet een “begin van uitvoering” zijn, alleen maar bedénken dat je een misdrijf gaat plegen is niet strafbaar. (Nou ja behalve als je het met z’n tweeën bedenkt en het misdrijf “met terroristisch oogmerk” is.)

Computervredebreuk is een misdrijf, dus poging daartoe is strafbaar. Brute forcen van een account en gepakt worden voordat je het wachtwoord geraden had, levert dus strafbare poging op want je was bezig met inbreken, er was een begin van uitvoering.

Het vinden van zwakke plekken om in te breken lijkt me ook een “begin van uitvoering”, immers die informatie is nodig om naar binnen te kunnen gaan. Een persoon met bivakmuts die aan alle ramen rammelt om drie uur ’s nachts, is ook bezig met een begin van uitvoering (van inbraak).

Het lastige is alleen, je kunt ook portscannen zonder die informatie te willen gebruiken om later in te breken. En dat oogmerk, dat plan om in te breken, moet er wel zijn. Je kunt niet iets ‘pogen’ dat je niet van plan bent, als u begrijpt wat ik bedoel.

Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

Arnoud