Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

| AE 9931 | Arbeidsrecht | 27 reacties

Een lezer vroeg me:

Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag te nemen.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord kan in principe niet worden afgedwongen.

Specifiek bij wijzigingen van een arbeidscontract is er iets meer ruimte, grofweg wanneer de werknemer redelijkerwijs niet zou moeten weigeren. Dat zou kunnen spelen bij een functiewijziging, maar bij een beding als dit lijkt me dat niet op te gaan.

Minstens zo belangrijk is dat het juridisch niet mág, een werknemer persoonlijk aansprakelijk stellen voor niet-naleving van de AVG. Fouten in het werk die leiden tot zo’n niet-naleving zijn gewoon wanprestaties bij het werk, en die komen voor rekening van de werkgever (art. 6:170 BW).

Dit tenzij sprake is van opzet en grove nalatigheid, maar de lat daarvoor ligt zo hoog dat je er bij dit soort dingen vrijwel nooit aan komt. Sommige reglementen vermelden dan ook expliciet “iedere overtreding van de AVG wordt aangemerkt als opzet of grove nalatigheid” maar dat haalt niet eens de bulderlachtoets, laat staan de giecheltoets.

Ook een boete mag niet zomaar. Allereerst moet die boete in het arbeidscontract zelf staan (inclusief uitgewerkte regeling wanneer deze in werking treedt). Boetes in een eenzijdig aangekondigd reglement zijn sowieso niet geldig. Hier wordt de boete formeel in het contract zelf gezet, maar deze contractswijziging is geforceerd en dus ook niet rechtsgeldig.

Daarnaast mag een boete nooit hoger zijn dan een halve dag loon (art. 7:650 lid 5 BW). Met deze bedragen gaat het boetebeding dus sowieso van tafel.(Dit was onzin, dat verbod geldt alleen als je minimumloon verdient. Een hoge boete mag dus wel maar mag natuurlijk niet onredelijk hoog zijn, blauwe lijst algemene voorwaarden.)

Beide constructies zijn juridisch dus niet rechtsgeldig. Je hoeft dus niet te tekenen en dat kan juridisch geen gevolgen hebben. Natuurlijk mag de werkgever wel regels stellen over hoe je AVG-proof moet gaan werken, en mag hij je berispen of in extreme gevallen zelfs ontslaan als je die regels overtreedt. Die regels mag hij eenzijdig stellen, je akkoord als werknemer is daarvoor niet nodig. (Specifiek hier is die handtekening “voor gezien” wel nuttig, dan kun je niet ontkennen dat je wist van de regel.)

Een praktisch probleem blijft natuurlijk hoe je dat aan de werkgever overbrengt, zeker in situaties waarin deze zegt dat het wél moet en dat het wel rechtsgeldig is. Je kunt dan proberen het te escaleren via de vakbond of ondernemingsraad, of samen met collega’s bezwaar maken en kijken of dat meer indruk maakt.

Als men blijft vasthouden, dan zijn er twee opties: 1) je tekent niet, en hoopt dat hij je daar niet op afrekent door bv. een promotie te weigeren, 2) je tekent wel, en als het beding dan wordt ingeroepen dan start je een procedure bij de rechtbank om dat ongedaan te maken. Bij die tweede optie zou ik wel eerst de rechtsbijstandsverzekering vragen of ze dit dekken.

Wat zouden jullie doen?

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

Van wie is de Facebookpagina van een bekende Nederlander?

| AE 9738 | Arbeidsrecht | 59 reacties

“Mijn vorige werkgever zegt: die heb je onderhouden tijdens werktijd, dus die is van ons.” Aldus DJ Giel Beelen in het AD vorige week. De ex-werkgever van de DJ claimt eigenaar te zijn van de Facebookpagina, omdat deze onder werktijd werd onderhouden. Mogelijk een reactie op dat akkefietje vorige week met de ‘gehackte’ muziek. Maar het is wel een lastige vraag: van wie ís de Facebookpagina van een bekend persoon?

Data bestaat juridisch niet, roep ik altijd. En dat geldt ook voor Facebook: een Facebookprofiel met updates, foto’s en dergelijke bestaat juridisch niet als zelfstandig ding. Je kunt er dus geen eigenaar van zijn in de zin van de wet; het is niet meer dan een artefact van een dienst geleverd door Facebook Inc. Juridisch stelt het minder voor dan een bioscoopkaartje of kassabon. Dus wat dat betreft zou de vraag zinloos zijn.

Maar specifiek in de werkgever/werknemer relatie is er nog wel een haakje. Die dienst is geleverd onder een contract tussen Facebook Inc en meneer Beelen. Als hij dat contract als werknemer sloot, dan staat het op naam van zijn ex-werkgever de BNNVARA. Wanneer je dan als werknemer daar niet meer werkt, ben je dus niet meer bevoegd om onder het contract handelingen te verrichten, wat een dure manier is om te zeggen dat je dan die pagina niet meer mag updaten.

Wanneer ga je nu een contract aan als werknemer? Een expliciete opdracht is daarvoor niet nodig. Als uit de omstandigheden duidelijk is dat jij én de werkgever dit bedoelde als zakelijke actie, dan is het een contract op naam van de werkgever. Er is dus geen hard criterium, en ook “onder werktijd beheerd” is niet genoeg. Als ik onder werktijd als DJ een roman schrijf, dan is die echt van mij want dat heeft niets met het werk te maken. (Ik kan wel worden berispt voor niet werken onder werktijd.)

Dat je op je eigen naam gebruikt, zou normaal voor mij een belangrijke factor in het voordeel van de werknemer zijn. Ook dat het hier Facebook is en niet een meer zakelijk netwerk zoals Linkedin, zie ik als factor pro werknemer. Maar het is hier iets ingewikkelder, omdat je als Bekende Nederlander juist zákelijk op Facebook moet zijn (daar zitten je fans) en je daarbij ook onder je persoonsnaam naar buiten treedt. Anders gezegd: het onderscheid tussen Giel Beelen privé en Giel Beelen, werknemer BNNVARA, is eigenlijk niet goed te maken.

Er blijft dan weinig anders over dan op de pagina zelf te kijken. En daar zie ik van alles over de zakelijke activiteiten van de DJ, aansluitend bij dingen die op de radio gebeuren. Ik zie zo gauw geen echte privézaken zoals ik die bij een particuliere Facebook zou verwachten. Daardoor krijg ik het gevoel dat de pagina bedoeld is als deel van het werk, en daarmee is goed verdedigbaar dat BNNVARA deze als bedrijfspagina ziet.

Het is natuurlijk nogal vervelend voor Beelen die zo het contact met zijn fans verliest, maar juridisch zie ik geen argumenten om de pagina zelf te mogen houden. Jullie wel?

Arnoud

Oh, je baas mag toch niet meegluren in je privéberichten op je werk?

| AE 9661 | Arbeidsrecht, Privacy | 2 reacties

Het Europese Hof voor de Rechten van de Mens heeft in een uitspraak bepaald dat bedrijven hun werknemers moeten inlichten op het moment dat hun digitale communicatie vanaf de werkplek in de gaten wordt gehouden. Dat meldde Tweakers vorige week. Een werknemer had een zakelijk Yahoo Messenger account aangemaakt om daarmee met klanten te kunnen… Lees verder

Ook berichten op de zakelijke telefoon kunnen privé zijn

| AE 9597 | Arbeidsrecht | 21 reacties

Wat doe je als je als werkgever het vermoeden krijgt dat een personeelslid haar concurrentiebeding overtreedt? Dan ga je natuurlijk op zoek naar bewijs. Vandaag de dag is dan de laptop of zakelijke telefoon van die werknemer een handige bron van bewijs: deze biedt immers toegang tot mailaccounts, WhatsAppgespreken en ga zo maar door. Maar… Lees verder

Hoe hard zoek je de openbaarheid als je dingen op Facebook zet?

| AE 9586 | Arbeidsrecht, Privacy | 31 reacties

De privacywetgeving hoort niet van toepassing te zijn als iemand zelf de openbaarheid zoekt, las ik bij Netkwesties. Als mensen beslissen allerlei zaken openbaar te maken, betekent dat tegelijkertijd dat zij het ‘risico’ nemen dat anderen, waaronder wellicht potentiële werkgevers, daar kennis van nemen. Een standpunt dat hier ook recent voorbij kwam, zij het op… Lees verder

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Arbeidsrecht | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden. Dit… Lees verder

Ik moet een app installeren van mijn werkgever en dat wil ik niet

| AE 9257 | Arbeidsrecht | 59 reacties

Een lezer vroeg me: Mijn werkgever wil dat we allemaal een app installeren die voor het werk noodzakelijk is. Hiermee moeten we onder meer onze tijd bijhouden en registreren bij welke klanten we zijn geweest. Maar ik wil dat helemaal niet op mijn privételefoon. Mag ik dit weigeren? Ja, dat mag je weigeren. De werkgever… Lees verder