Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

| AE 11447 | Security | 25 reacties

Een lezer vroeg me:

Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde?

Het lijkt me uitermate onwaarschijnlijk dat in Nederland iemand wordt ontslagen enkel vanwege het feit dat door zijn handelen een ransomware-infectie uitbrak.

Natuurlijk is het bepaald slordig als je als werknemer een besmette e-mailbijlage opent, zeker als je op de it-afdeling werkt en dus (zo mag je vermoeden) enige kennis over it, beveiliging en risico’s hebt. Maar slordig je werk doen of onoplettend bezig zijn onder werktijd is simpelweg niet genoeg om tot ontslag over te mogen gaan. Of iets preciezer gezegd: één geval van disfunctioneren is geen reden voor ontslag.

Een disfunctionerende medewerker kun je in Nederland pas ontslaan als je het nodige hebt gedaan (https://www.arbeidsrechter.nl/disfunctioneren-van-de-werknemer-transitievergoeding-schorsing-ontbindingsprocedure) om verandering te brengen in het functioneren van de medewerker. De werkgever moet de medewerker daarbij expliciet informeren over wat er misgaat en hoe dat beter kan, en heeft een zorgplicht dat de werknemer dit ook werkelijk beter gaat doen. Bij it-gerelateerd disfunctioneren moet de medewerker dus op cursus, even kort door de bocht. En pas als hij daarna hardnekkig domme dingen blijft doen, kun je aan ontslag denken.

Ook helpt het behoorlijk bij een ontslagaanvraag om duidelijke regels gesteld te hebben, die dan zijn overtreden ondanks de training en awareness daarover die je als werkgever eraan hebt gegeven. (Enkel dus iets in een reglement zetten of via de mail mededelen is juridisch dus betekenisloos.)

Dan heb je ook nog de ontslag op staande voet, maar bij security incidenten moet iemand het dan wel héél bont hebben gemaakt wil je daartoe over kunnen gaan. Enkel een besmette bijlage openen -ook al ben je de security officer- zou ik als te weinig zien om dit paardenmiddel in te kunnen zetten. Al is het maar omdat een groot deel van de schade bij het bedrijf dan ook komt door gebrekkige beveiliging en backups, en ik het gevoel zou hebben dat het ontslag meer een vorm van afreageren is dan een daadwerkelijke proportionele respons op verwijtbaar handelen.

Arnoud

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we toestemming geven (of niet) maar volgens mij is dat niet rechtsgeldig. Hoe moet het nu wel? Wanneer kan de werkgever dit verplichten?

Inderdaad is in beginsel toestemming van een werknemer niet rechtsgeldig. De AVG eist dat die vrijwillig wordt gegeven, en een werkgever die iets vraagt, dat komt altijd toch een tikkeltje gedwongen over. “Wil jij even die klant terugbellen” is geen vraag maar een bevel, beleefd geformuleerd. Dus vandaar dat je als werkgever niet met toestemming moet werken.

Als werkgever kun je wel mensen dingen opdragen die gewoon hun werk zijn. Dat is dan hetzij de grondslag uitvoering overeenkomst (het is nodig voor het werk) hetzij het eigen belang van de werkgever. In het eerste geval moet het dan echt nodig zijn voor het werk, in het tweede geval moet je als werkgever ook een belangenafweging maken of de privacy van de werknemer niet in het geding komt en hoe je dat kunt voorkomen.

Wanneer iets ‘nodig’ is voor het werk, is natuurlijk een stukje inschatting. Ik vind bijvoorbeeld dat iemand met een buitendienst-functie al snel met zijn foto op internet gezet kan worden, zodat de klanten weten wie er langskomt of met wie ze te maken hebben. Anno 2019 hoort dat gewoon bij het werk – uitvoering overeenkomst. Dit moet; ga op de foto en wel nu. Als vuistregel: vind je als werkgever dat je dit als dienstbevel kunt opdragen.

Promotie op social media is een belang van de werkgever, je wilt als bedrijf jezelf goed op de kaart zetten. Je hebt dan mensen nodig om je bedrijf te laten zien. Ik vind dat geen noodzaak voor het werk; poseren voor een foto is niet echt wérken. Ik vind niet dat ik mensen dat kan opdragen, dus daarom zou ik dit onder het kopje eigen noodzaak rekenen. Dan zeg ik, dit is wel heel belangrijk voor het werk dus ik wil als werkgever graag dat je dit doet, maar ik houd wel rekening met je persoonlijke levenssfeer.

Als werkgever moet je dan kijken hoe je uitkomt met de privacybelangen van de werknemer. Ik zou dan bijvoorbeeld kijken of de foto wellicht op de rug kan, of het gezicht wat geblurd kan worden et cetera. Vragen “vind je dit goed” is ook een goede maatregel in die context, en mensen die niet willen doen niet mee zonder verdere gevolgen. Daarmee zou het privacybezwaar minimaal moeten zijn.

Bij online discussies (zoals in Linkedingroepen) is dit iets lastiger. Je kunt daar moeilijk aan meedoen zonder naam, functietitel en foto. Dat is nu eenmaal de mores daar, en het heeft voor het bedrijf ook weinig zin als daar “Wim B” zonder functietitel en een chihuahua als foto gaat meedoen. De belangenafweging is dan ingewikkelder, ik weet eerlijk gezegd geen privacy-respecterende maatregelen in de situatie dat je met naam en foto het publieke domein moet betreden.

Dus ik denk dat je daar niet aan ontkomt het te moeten rechtvaardigen onder die noodzaak van het werk. Is het iemands werk om op Linkedin vragen te gaan beantwoorden? Zo ja, dan moet hij dat dus doen. En zo nee, dan kan het alleen op basis van vrijwilligheid – maar hoe je dat inkleedt als werkgever, dat zie ik niet.

Arnoud

Mag mijn werkgever uit mijn naam mails versturen voor het werk?

| AE 11354 | Security | 18 reacties

Een lezer vroeg me:

Op het forum van Security.nl las ik de vraag over een werkgever die in mailboxen van personeel zit en van daaruit ook in hun naam mail verstuurt. Mag dat zomaar?

Er is natuurlijk geen wet die letterlijk dit verbiedt. Dit is iets waar je vanuit de norm van goed werkgeverschap samen uit moet komen, en helaas is dat bij dit soort types vaak wat lastiger dan zou moeten.

Hoofdregel is dat de werkgever bepaalt hoe het werk wordt uitgevoerd. Hij moet daarbij rekening houden met de privacy van de werknemer, maar als hij alle uitgaande berichten wil screenen of zelfs wil dicteren wat er in je brieven moet staan, dan is dat binnen de redelijkheid gewoon zijn recht. Ook als jouw naam er onder staat.

Ongevraagd en zonder inspraak mails versturen uit naam van de werknemer vind ik een ander verhaal. De werknemer moet wel ongeveer weten wat er namens hem of haar wordt gezegd. Ik denk dus niet dat dat kan, tenzij er expliciet bij staat “verzonden door X uit naam van Y” of iets dergelijks.

Toegang tot de mailbox kan nodig zijn om die mails van klanten op te vangen, of om in oude mails te zoeken wat er in het verleden is gezegd. (Natuurlijk, dat kan ook in een centraal CRM-systeem of ticketsysteem zitten maar niet elk bedrijf heeft dat.) Daar moeten dan regels over worden gemaakt in het ICT-reglement, zodat de werknemer weet hoe en wanneer de werkgever toegang mag krijgen tot de mailbox. En die regels mogen niet zijn “de baas mag op ieder moment alles”, er moet wel enige nuance in zitten.

Arnoud

Kan de werkgever anno 2019 verwachten dat je beschikbaar bent op WhatsApp?

| AE 11350 | Ondernemingsvrijheid, Privacy | 34 reacties

Maandag blogde ik over de vraag of een werkgever je kan verplichten een smartphone aan te schaffen. Daarop kreeg ik een paar vervolgvragen, met name over WhatsApp dat in het mkb en onderwijs veel gebruikt wordt voor werkoverleg en andere zakelijke communicatie. Mensen ‘moeten’ dan hun 06 doorgeven, of dat wordt gewoon in de groep… Lees verder

Help, mijn marketeers zetten klanten op de foto op Linkedin!

| AE 11271 | Ondernemingsvrijheid | 10 reacties

Een lezer vroeg me: Recent kreeg ik als commercieel directeur bij een IT-adviesbureau een klacht van een klant: die zag zichzelf terug op een groepsfoto op Linkedin, gepost door een van mijn marketing/sales-medewerkers. De foto was gemaakt op een intern event bij ons waar ongeveer 40 klanten bij aanwezig waren. Weliswaar was het event openbaar… Lees verder

Activision betaalt medewerkers om zwangerschappen te volgen via gezondheidsapp

| AE 11239 | Ondernemingsvrijheid, Privacy | 6 reacties

Activision Blizzard betaalt vrouwelijke medewerkers om gegevens over hun vruchtbaarheid en zwangerschap in te voeren in de gezondheidsapp Ovia. Dat meldde Tweakers onlangs. De medewerkers die vrijwillig kiezen hieraan mee te doen, krijgen hiervoor dagelijks een kadokaart ter waarde van een dollar. De gegevens worden geanonimiseerd en als statistieken weergeven, met als doel -hou je… Lees verder

Mag mijn werkgever eisen dat ik mijn Excel model aan ze geef?

| AE 11189 | Intellectuele rechten | 16 reacties

Een lezer vroeg me: Ik heb ooit als zelfstandig ondernemer een Excel model gemaakt om op heel efficiënte manier investeringsanalyses te doen. Dit model gebruik ik sindsdien al jaren bij diverse werkgevers tot volle tevredenheid. Mijn huidige werkgever eist nu echter dat ik dit model aan hen beschikbaar stel, en dit dreigt een arbeidsconflict te… Lees verder

Op je LinkedIn liegen over je functie kan leiden tot ontslag op staande voet

| AE 10667 | Informatiemaatschappij | 17 reacties

Wie een onjuiste functietitel koppig blijft handhaven op LinkedIn ondanks herhaalde sommatie van zijn werkgever, kan daarvoor ontslag op staande voet krijgen. Dat maak ik op uit een recent vonnis van de rechtbank Midden-Nederland. In deze zaak was de werknemer sinds 2015 actief in de functie van accountmanager New Business. Op zeker moment in 2016… Lees verder

Mag je bij ontslag je zakelijke laptop geformatteerd inleveren?

| AE 10527 | Ondernemingsvrijheid | 12 reacties

Wanneer je als werknemer op non-actief wordt gesteld, moet je op verzoek je telefoon en laptop inleveren. Dat deed een werknemer in deze rechtszaak dan ook, zij het dat hij alle data van de laptop en bijbehorende externe schijf had gewist. Dat was voor zijn privacy gaf hij aan, maar de werkgever zag dat als… Lees verder