Help, mijn marketeers zetten klanten op de foto op Linkedin!

| AE 11271 | Ondernemingsvrijheid | 10 reacties

Een lezer vroeg me:

Recent kreeg ik als commercieel directeur bij een IT-adviesbureau een klacht van een klant: die zag zichzelf terug op een groepsfoto op Linkedin, gepost door een van mijn marketing/sales-medewerkers. De foto was gemaakt op een intern event bij ons waar ongeveer 40 klanten bij aanwezig waren. Weliswaar was het event openbaar toegankelijk en waren mensen alleen vanaf de rug gefotografeerd, maar deze klant had toch niet verwacht zichzelf zo terug te zien. Hebben wij nu de AVG overtreden, kan de klant een schadeclaim indienen? En wat kan ik doen naar de medewerker, ik heb geen reglement of protocol over sociale media.

Zonder toestemming iemands gezicht/postuur online zetten is niet heel netjes, inderdaad. Ik zou bij klantenevents altijd aan mensen vragen of ze dit goed vinden, en zo niet expliciet de foto zo maken dat deze mensen niet in beeld zijn. Gewoon, omdat mensen dat van je verwachten en klanten nu eenmaal belangrijk zijn voor je bedrijf. (Voor de nitpickers: leveranciers zijn óók belangrijk dus ook daar het vragen. Bij personeel heeft vragen geen zin, die kun je alleen maar verplichten op de foto te gaan.)

Ik denk niet dat juridisch gezien toestemming echt nodig is. Gezien deze context (een openbare lezing) en het feit dat men op de rug is gefotografeerd waardoor herkenning onwaarschijnlijk wordt, plus dat de foto bestemd was voor een journalistiek doel (een verslag van de bijeenkomst) acht ik het rechtmatig om deze publicatie te doen. In AVG-taal: een legitiem eigen belang waarbij de privacy van de betrokkenen in lage mate geschonden wordt. En omdat het journalistiek is, hoefde je de klanten niet te informeren dat je dit ging doen (artikel 43 lid 2 Uitvoeringswet).

Op deze manier naar de klant reageren lijkt me echter niet handig. Ik zou dan ook zeker kijken of ik als bedrijf duidelijke instructies kan geven aan mijn mensen, die de klanten/relaties zullen begrijpen en die toch de PR- en marketingvoordelen halen waar mijn mensen op uit zijn. Ik kom dan al snel uit bij “altijd zeggen dat je dit gaat doen en bezwaren serieus nemen” of zelfs “altijd toestemming vragen en anders een paar collega’s voor publiek laten spelen”.

Dergelijke instructies nemen veel onduidelijkheid en potentieel voor conflicten weg. Je mag dat als werkgever gewoon zeggen, jij bepaalt hoe het werk wordt uitgevoerd. En je mag natuurlijk dingen verbieden zelfs als de wet zegt dat die dingen gewoon mogen.

Een protocol lijkt me hiervoor niet nodig, je hebt rechtvaardiging genoeg in het feit dat klanten piepen. Dat kost je de klant (in theorie) dus dat is rechtvaardiging genoeg om gewoon te zeggen dat het anders gaat vanaf nu. Wel zou ik zo’n regel eerst even in de groep voorleggen, omdat ik weet dat een “oekaze” van bovenaf over Linkedin vaak veel weerstand oplevert.

Arnoud

Activision betaalt medewerkers om zwangerschappen te volgen via gezondheidsapp

| AE 11239 | Ondernemingsvrijheid, Privacy | 6 reacties

Activision Blizzard betaalt vrouwelijke medewerkers om gegevens over hun vruchtbaarheid en zwangerschap in te voeren in de gezondheidsapp Ovia. Dat meldde Tweakers onlangs. De medewerkers die vrijwillig kiezen hieraan mee te doen, krijgen hiervoor dagelijks een kadokaart ter waarde van een dollar. De gegevens worden geanonimiseerd en als statistieken weergeven, met als doel -hou je vast- “het bedrijf in een competitieve industrie te laten excelleren en bijdragen aan het vasthouden en laten terugkeren van vrouwen met vaardigheden”. Mag ik een teiltje? En ondertussen de vraag, mag dat als je dat in Europa zou doen?

Gegevens over zwangerschap vallen binnen Europa onder het strenge regime van de bijzondere persoonsgegevens, namelijk onder het kopje ‘gezondheid’. Dat betekent dat verwerking van die gegevens verboden is, tenzij er een uitzonderingsgrond van toepassing is. Voor werkgevers is er een mogelijke grond, de arbeidsgezondheid en de “de beoordeling van de arbeidsgeschiktheid van de werknemer” (artikel 9 lid 2 sub i AVG). Een zwangere vrouw heeft een bijzondere positie, dus dat moet je kunnen registreren voor je bedrijfsvoering. Ook kun je het gooien op de Uitvoeringswet AVG, waarbij je die gegevens mag gebruiken als dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften (en die zijn er dus, ter bescherming van de vrouw).

Het soort actie van Blizzard kan ik moeilijk zien als zo’n uitzonderingsgrond. Tenzij je zegt, die app is bedoeld om bij te houden wat we wettelijk eigenlijk al moesten als werkgever, en die statistieken ten behoeve van kuchkuch excellentie zijn geen persoonsgegevens. Ik zie alleen dat er een héleboel gegevens worden verzameld (“… lopen uiteen van de status van lichaamsfuncties, medicijngebruik, gemoedstoestand, tot aan de geslachtsdrift”) en kan dat niet goed rijmen met de wettelijke taak als werkgever.

Maar er wordt uitdrukkelijk vrijwillig toestemming gevraagd, staat in het artikel. Dan zou het oké moeten zijn, want “uitdrukkelijke toestemming voor welbepaalde doelen” heft ook het verbod op. Dan kom je ‘gewoon’ uit bij een onderzoek onder zwangere vrouwen die voor een leuke cadeaukaart vrijwillig gegevens geven over hoe het met ze gaat, waar me an sich niets mis mee lijkt.

Alleen krijg je dan de complicatie omdat het hier gaat om werknemers. Die kunnen eigenlijk geen toestemming geven, omdat ze in een afhankelijkheidsrelatie zitten naar de werkgever toe. Of dat nu is dat ze een nieuw contract willen, een loonsverhoging of alleen maar hun baan op dezelfde manier terug na het ouderschapsverlof, doet er niet eens toe. Er zal altijd iets van een gevoel van dwang zijn, waardoor je als werknemer niet vrijwillig kunt beslissen.

Heel misschien dat het kan omdat het énkel gaat om statistieken. Dat kun je denk ik wel vrijwillig vragen, wil je meedoen aan dit onderzoek. Als je dan ook borgt dat je niet hoort wie er meedoet, dan zie ik wel weer vrijwilligheid ontstaan. Alleen, de werkgever weet het hier wél (je krijgt immers die cadeaubon) en deel van de inzet van de data is ook verbetering van het bedrijf. Dan voelt het ergens toch als een soort moetje, en dat zou tegen de AVG zijn.

Arnoud

Mag mijn werkgever eisen dat ik mijn Excel model aan ze geef?

| AE 11189 | Intellectuele rechten | 16 reacties

Een lezer vroeg me:

Ik heb ooit als zelfstandig ondernemer een Excel model gemaakt om op heel efficiënte manier investeringsanalyses te doen. Dit model gebruik ik sindsdien al jaren bij diverse werkgevers tot volle tevredenheid. Mijn huidige werkgever eist nu echter dat ik dit model aan hen beschikbaar stel, en dit dreigt een arbeidsconflict te worden. Waar sta ik nu juridisch, is dit model ineens hun eigendom geworden omdat ik het aanwend voor het werk daar?

Een tool wordt geen eigendom wanneer je dit voor werk inzet. Heel misschien kan daar discussie over komen wanneer in het arbeidscontract is bepaald dat ook bestaande auteursrechten overgaan bij indiensttreding, maar dat zou ik een zeer onredelijke algemene voorwaarde vinden. Ik heb het in ieder geval nog nooit zo specifiek gezien.

Toch denk ik wel dat de werkgever kan eisen dat hij een kopie krijgt van de tool. Niet perse in eigendom, eerder in licentie dus. Dit omdat de tool wordt ingezet voor het werk, en daarmee een afhankelijkheid ontstaat tussen werkgever en werknemer over de manier waarop het werk wordt uitgevoerd.

Dat lijkt me niet de bedoeling, stel dat er ooit een arbeidsconflict ontstaat of de werknemer krijgt een ongeluk, hoe moet het werk dan verder? Of nog praktischer, hoe kan de werkgever nu onderbouwen welke beslissingen worden gemaakt als hij de tool niet kent?

Een kopie van de tool afgeven zal voor de werknemer nogal onprettig voelen, zeker als het zulk liefdewerk is waar al meer dan tien jaar aan gewerkt is. Maar als de situatie eenmaal ontstaan is dat het huidige werk er van afhankelijk is, dan zal dat opgelost moeten worden. En dan ontkom je denk ik niet aan het beschikbaar stellen van de tool.

Tenzij je zegt, deze mevrouw is in dienst om financiële analyses te doen, dan moet de werkgever maar zorgen dat er een tool komt om die analyses mee te ondersteunen. Collega’s van haar zullen toch ook iets hebben om het werk mee te vergemakkelijken? In dat geval moet deze zelfgebrouwen tool gewoon terug naar huis, en moet ze vanaf nu gewoon werken zoals haar collega’s. Dat er dan suboptimale (of minder efficiënt gemaakte) analyses uitkomen, is jammer maar het risico van de werkgever.

Algemeen zou mijn advies zijn om nooit eigen tools naar het werk mee te nemen zonder vooraf expliciet te hebben afgesproken wie wat daarmee mag. Achteraf dit rechttrekken is nooit goed voor de arbeidsrelatie.

Arnoud

Deliveroo-bezorgers zijn toch werknemers en geen zzp’ers

| AE 11075 | Ondernemingsvrijheid, Regulering | 26 reacties

Bezorgers die voor Deliveroo maaltijden bezorgen worden door het bedrijf ten onrechte als zzp’ers aangemerkt, oordeelde de rechter in twee zaken die vakbond FNV aanspande. Dat las ik bij Nu.nl vorige week. De bezorgers zijn feitelijk gewoon werknemers en moeten als zodanig behandeld worden; dat Deliveroo ze zzp’er noemt, is daarbij niet relevant (in tegenstelling… Lees verder

Hoe ver gaat mijn zorgplicht als dienstverlener onder de AVG dan eigenlijk?

| AE 10937 | Ondernemingsvrijheid, Privacy | Er zijn nog geen reacties

Een lezer vroeg me: Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen… Lees verder

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

| AE 10898 | Informatiemaatschappij | 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen…. Lees verder

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

| AE 10680 | Ondernemingsvrijheid, Privacy | 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit: Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal? Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te… Lees verder

Mag Slack een werkgever toegang geven tot chats van personeel?

| AE 10473 | Privacy | 9 reacties

De zakelijke chatdienst Slack laat werkgevers voortaan de privégesprekken van personeel inzien, las ik bij Nu.nl. De chatdienst, die populair is bij veel IT-werknemers en programmeurs, heeft haar exportfunctie voor chatberichten herzien. Het is nu makkelijker om je eigen chats te downloaden (dat moet immers van de AVG), maar wie een Plus- of Enterprise Grid-abonnement… Lees verder

Hoe is het een datalek om de namen van personeel in je metadata te laten staan?

| AE 10459 | Privacy | 13 reacties

De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n… Lees verder

Bitcoins minen op de computer van je baas is geen reden voor staande voet ontslag

| AE 10431 | Ondernemingsvrijheid | 15 reacties

Een systeembeheerder die op zijn werk bitcoins heeft gemined, mocht hiervoor niet op staande voet ontslagen worden, las ik bij Nu.nl. Hij had voor het winnen van de cryptovaluta een eigen unit in de serverkast op het werk geplaatst en daarmee het ICT-reglement overtreden en, aldus de werkgever, het bedrijf blootgesteld aan risico’s rond virus,… Lees verder