Mag minister Kamp wel werken vanaf zijn privémail?

| AE 8647 | Ondernemingsvrijheid, Privacy | 27 reacties

email-e-mail-elektronische-post-envelopMinister Henk Kamp (Economische Zaken) blijft zijn privémail zakelijk gebruiken, ondanks een phishingaanval en waarschuwingen van het Openbaar Ministerie, meldde Nu.nl vorige week. Kamp stuurt af en toe werkdingen naar zijn privémail “omdat dat gemakkelijker is voor mij. Zo is het”. Hij gaat in tegen de officiële richtlijnen, maar kennelijk mag dat. Maar hoe zit dat dan, mag een werkgever daar geen regels aan stellen?

De werkgever bepaalt hoe het werk wordt uitgevoerd. Als mail daarbij nodig is, dan mag je mailen (en zo niet, dan niet). En de werkgever kan dan bepalen wat je doet met die werkmailbox. Privé mailen vanaf de werkmail mag voor 90% worden verboden, en monitoren ligt gevoelig maar er zijn mogelijkheden. Maar er is geen twijfel dat een werkgever kan zeggen, de werkdingen blijven in de werkmail en dat ga je niet doen vanuit je privémailbox thuis.

Alleen: een minister is geen werknemer. Kamp heeft een politiek ambt, maar is daarmee nog geen ambtenaar in de zin van de arbeidswetgeving. Hij kan dus niet juridisch worden gehouden aan de regels over privé en werk die op het ministerie gelden. Iets platter gezegd: hij is de baas en voor de baas geldt, hij mag per definitie wat hij wil. Dus juridisch zijn we heel snel klaar hier. Tenzij blijkt dat hij staatsgeheime documenten doorstuurt, maar daar lijkt geen sprake van te zijn.

Bepaald onhandig is het wel. Het schept natuurlijk een heel raar precedent, en iedere scriptkiddie zal nu gaan proberen die privémailbox eens te hacken want kennelijk is dat een vette buit. Maar ja, hoe zeg je dat tegen een minister?

Arnoud

Je personeel bespioneren met camera’s, wanneer mag dat?

| AE 5392 | Ondernemingsvrijheid, Security | 24 reacties

media-markt-cameratoezicht-foto-mania-posterMedia Markt heeft in vijf vestigingen in Nederland personeelsleden met geheime camera’s gefilmd, las ik bij z24. Een ‘mystery shopper’ met verborgen camera filmde zijn interactie met het personeel, en achteraf werden werknemers hiermee geconfronteerd. In het artikel verdedigt de Media Markt zich met het argument dat men de beelden alleen voor “interne trainingsdoeleinden” zou inzetten, wat net zoiets is als een verbeterde gebruikservaring of zorgvuldig geselecteerde derden: klinkt goed, het zegt alleen niets. Wanneer mag je nu je personeel filmen?

Er zijn twee wetten die een rol spelen bij cameratoezicht: de strafwet en de Wet bescherming persoonsgegevens. Die laatste speelt een rol zodra je beelden opslaat op een manier dat je er eenvoudig in kunt zoeken, meestal bij digitale opslag omdat er dan timecodes en zo aan vast zitten. Als je alleen live meekijkt (een deurbelcamera bijvoorbeeld) is er geen sprake van een verwerking. En ja, camerabeelden zijn persoonsgegevens want je kunt er kenmerken van mensen op zien. Bijzondere persoonsgegevens zelfs.

Met de strafwet zijn we snel klaar. Een aangebrachte camera die de openbare ruimte filmt, mag mits er duidelijk voor is gewaarschuwd. Een camera die een besloten ruimte filmt, vereist een waarschuwing én een belangenafweging. Ook bij niet-aangebrachte camera’s, dus ja als je op een verjaardag met de handycam gaat zwaaien dan moet je dat even aankondigen.

Volgens het College Bescherming Persoonsgegevens (Cbp) mag een personeelslid alleen worden gefilmd als er een vermoeden is van fraude of diefstal, staat er in het artikel. Dat is nou ook weer wat streng geformuleerd. De nieuwslezers van RTL worden echt niet gefilmd omdat ze verdacht worden van fraude. Wél is het zo dat als je het niet vooraf bekend maakt, je dit moet melden bij het Cbp en die kunnen dan een voorafgaand onderzoek starten om te bepalen of het door de beugel kan.

Hoofdregel bij de Wet bescherming persoonsgegevens is dat je toestemming nodig hebt om iemands persoonsgegevens te verwerken. Dat geldt dus ook voor cameratoezicht. Maar in de meeste gevallen wordt op het werk zonder toestemming gefilmd. Je valt dan terug op de “eigen dringende noodzaak die zwaarder weegt dan de privacy” zoals dat heet. Een belangenafweging. En wat het Cbp hiermee zegt, is dat die afweging eigenlijk altijd neerkomt op dat het niet mag, tenzij bij zo’n vermoeden van fraude of diefstal.

Filmen voor trainingsdoeleinden of evaluatie van iemands performance lijkt me op zich geen probleem, mits het vooraf gemeld is. En hoe heimelijker het gefilm, hoe meer je daarbij zult moeten uitleggen vooraf. De camera-opstelling bij de interne training lijkt me geen probleem, maar zo’n mystery shopper voelt wel iets ernstiger. Hoewel je natuurlijk bij die melding niet hoeft te zeggen “de persoon met de camera is 1.80 lang en heeft rood haar” of zo. Zeggen dát er gemystershopt met camera wordt, zou al genoeg moeten zijn.

Wel denk ik dat de beelden in principe alleen aan de medewerker zelf (en zijn manager en HR) vertoond mogen worden. Ze vertonen in de bioscoop waar al het personeel verplicht moest opdraven, gaat me iets te ver. Dat leidt al snel tot voor gek staan. En ik denk dat dáár dan ook de ophef vandaan komt. Als de mysteryshopper alleen had gefilmd bij wijze van ondersteunend bewijs, en ze waren alleen vertoond als de medewerker de gang van zaken zou betwisten, dan zie ik het probleem niet.

Arnoud

Moet ik de Outlook-kalenders op kantoor openzetten?

| AE 2667 | Ondernemingsvrijheid, Privacy | 32 reacties

outlook-gedeelde-kalender.pngEen lezer vroeg me:

Als systeembeheerder bij een MKB-bedrijf kreeg ik de instructie om alle Outlook-kalenders openbaar toegankelijk te maken voor alle mensen binnen het bedrijf, zonder de betrokkenen daarvoor apart toestemming voor te vragen. Het betreft hier niet alleen de beschikbaarheidsinformatie die standaard wordt getoond, maar ook de inhoud van de individuele afspraken. Als argument word gegeven dat het dan makkelijker plannen is, en dat als iemand iets geheim wil houden hij het maar moet markeren als een privé-afspraak. Wordt de privacy niet geschonden zo, en moet ik hieraan meewerken?

Een afspraak in een agenda kan zeker onder de privacywet vallen. Wel denk ik dat bij zakelijke afspraken de werkgever al heel snel een belang kan hebben dat zwaarder weegt dan de privacy. Het is immers een afspraak voor het werk, en de inhoud van de afspraak kan relevant zijn voor anderen. “Bezet tussen 12 en 13” is immers te weinig informatie om te weten of je iemand tussen 13 en 14 kunt spreken: is hij op kantoor, gaat hij uit lunchen, zit hij bij een klant aan de andere kant van het land?

Privézaken zoals tandarts of etentje met je partner mag je best in de zakelijke agenda zetten, en daar moet de werkgever dan van afblijven. Wel is het redelijk om te verwachten dat mensen de afspraak markeren als privé zodat de werkgever dat wéét.

Een regeling dat agenda’s open moeten zijn behalve privé gemarkeerde afspraken, lijkt me op zich redelijk. Maar aankondigen vooraf is eigenlijk wel verplicht. Mensen moeten immers weten dat dit gaat gebeuren, zodat ze oude privéafspraken alsnog af kunnen sluiten.

Of je als systeembeheerder moet meewerken, blijft een lastige vraag. Ik adviseer altijd dit soort instructies eerst op schrift te laten krijgen, en daarna met een stalen gezicht de bedrijfsjurist te vragen om te duiden hoe dit binnen de Wet bescherming persoonsgegevens vormgegeven moet worden. Daar is die immers voor. Met een beetje geluk gaat er dan een “OMG dit kan niet, aansprakelijkheid, whargarbl” naar de directie en ben je er vanaf. En als hij zegt dat dit legaal is, dan kun je met een gerust hart aan het werk lijkt me.

Arnoud

Ik wil niet in het smoelenboek!

| AE 2277 | Ondernemingsvrijheid, Privacy | 21 reacties

Vrijwel ieder bedrijf krijgt het op zeker moment: een smoelenboek op intranet. Handig om je collega’s te kunnen herkennen. Maar niet iedereen wil graag met naam en vooral met foto in dat smoelenboek. Zo’n publicatie kan voelen als een privacyschending. Maar is het dat ook? Het College Bescherming Persoonsgegevens is duidelijk: een werkgever mag alleen… Lees verder

Mogen bedrijven gebruik van sociale media ‘beteugelen’?

| AE 2231 | Informatiemaatschappij, Ondernemingsvrijheid, Privacy | 11 reacties

‘Werknemers kunnen hun werkgever ernstige schade berokkenen door het gebruik van sociale media. LinkedIn, Facebook of Twitter leggen bedrijfsgevoelige informatie bloot, zoals cv’s, zakelijk netwerk of klantenbestand’, zo opende een column in het Financieele Dagblad vorige week (via GeenStijl). De strekking: verbied al die sociale shizzle of ga er in ieder geval keihard bovenop zitten… Lees verder

Duitse privacywet wordt aangescherpt, en bij ons?

| AE 2189 | Privacy | 13 reacties

In Nederland was de insteek vooral dat profielen van sollicitanten doorzoeken verboden zou worden, bij Amerikaanse sites gaat het meer over het idee (nou já zeg) van privacy op de werkplek. Maar in ieder geval: in Duitsland wordt gewerkt aan een streng wetsvoorstel over hoe er met privacy en persoonsgegevens van werknemers en sollicitanten moet… Lees verder

Mail geen geheime bedrijfsdocumenten naar jezelf

| AE 2153 | Ondernemingsvrijheid, Uitingsvrijheid | 17 reacties

Vertrouwelijke documenten naar jezelf forwarden is niet handig, zeker niet als je kort daarna ontslagen wordt en vervolgens tegen je ex-werkgever meldt dat je een artikel gaat publiceren over het soort producten dat in die documenten beschreven wordt. Dat ondervond een man uit Spijkenisse toen zijn ex-werkgever hem voor de rechter sleepte wegens schending van… Lees verder

Wat staat er in uw bedrijfsreglement over bloggen?

| AE 1261 | Uitingsvrijheid | 7 reacties

Ieder zichzelf respecterend bedrijf heeft wel een gedragscode of reglement over privé-internetgebruik op het werk. Hoewel privé-internetten op zich moet kunnen, mag een bedrijf daar wel grenzen aan stellen. Porno kijken is een bekend voorbeeld, maar ook overmatig downloaden kan verboden worden. Maar hoe zit het met bloggen? Er zijn maar bar weinig bedrijven die… Lees verder

Mag de werkgever privébestanden op een bedrijfspc doorzoeken?

| AE 735 | Privacy, Security | 40 reacties

Een lezer vroeg zich af: Stel op een bedrijfspc staan bestanden die het privé-eigendom zijn van een medewerker. Nu wil de werkgever op die pc bepaalde werkgerelateerde documenten opvragen, maar hij weet niet precies waar die staan. Vanwege een arbeidsconflict wil de werknemer niet meewerken. Mag de werkgever nu de pc doorzoeken, of moet hij… Lees verder