Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

| AE 9480 | Aansprakelijkheid, Arbeidsrecht | 12 reacties

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat te doen?

Natuurlijk is deze medewerker persoonlijk aansprakelijk voor de schade. Een werknemer is normaal nooit aansprakelijk, maar dit is vrij evident de uitzondering voor opzettelijk of bewust roekeloos handelen. Zo lees ik dat hij backdoors had aangebracht om deze schade aan te kunnen richten. Dat doe je echt niet per ongeluk. In theorie is zelfs aangifte van het strafbare feit vernieling van gegevens (art. 350a Strafrecht, twee jaar cel) mogelijk.

Daarnaast zal dit moeten worden behandeld als een datalek: als persoonsgegevens worden gewist zonder dat er backups zijn (of als de backups óók worden gewist) dan is dat hetzelfde als bij ongeautoriseerde toegang. Zeker omdat het denkbaar is dat die admin een kopie van de data heeft meegenomen om te publiceren of te verkopen. Ook die schade kan worden verhaald.

Dit is wel een geval waarin het recht in theorie duidelijk is, maar in de praktijk niets oplevert. Want of er wat te halen valt, is natuurlijk vers twee. En de strafrechtelijke route levert je ook niet perse meer op. Je kunt je daar voegen voor een schadevergoeding, maar dat komt op hetzelfde neer als een eigen civiele schadeprocedure.

Het toont voor mij maar weer duidelijk aan hoe afhankelijk we zijn van digitale data en bijbehorende diensten, en hoe makkelijk we daarin machtsposities laten ontstaan. Onmisbare mensen moet je meteen ontslaan, vertelde een HR-manager me ooit. Dat geldt ook voor systeembeheerders. Alleen, hoe borg je je dataveiligheid tegen de persoon die de dataveiligheid moet borgen?

Arnoud

Ik moet een app installeren van mijn werkgever en dat wil ik niet

| AE 9257 | Arbeidsrecht | 59 reacties

Een lezer vroeg me:

Mijn werkgever wil dat we allemaal een app installeren die voor het werk noodzakelijk is. Hiermee moeten we onder meer onze tijd bijhouden en registreren bij welke klanten we zijn geweest. Maar ik wil dat helemaal niet op mijn privételefoon. Mag ik dit weigeren?

Ja, dat mag je weigeren. De werkgever is wettelijk verplicht de werknemer de gereedschappen te verschaffen waarmee deze het werk kan uitvoeren. Dat geldt voor bureaustoelen en hamers, maar ook voor telefoons en andere computers waarmee gewerkt moet worden.

Als het bedrijf het noodzakelijk acht dat iemand met een app werkt, dan moet de werkgever hem ook de middelen verschaffen om met die app te werken. Men kan toch ook niet verwachten dat je als werknemer een bureaustoel van thuis meeneemt?

Praktisch detail: hoe leg je dat uit? Geen mobiele telefoon hebben kan natuurlijk (“Nee, ik leen er eentje van mijn schoonvader en die wil dit niet”) maar voelt een tikje wereldvreemd. Weigeren vanwege privacy- of securityredenen komt al snel te nerdy over. Maar wat zeg je dan?

Arnoud

Github introduceert werknemersvriendelijk IP-contract

| AE 9359 | Arbeidsrecht | 4 reacties

Broncodebeheerbedrijf Github staat sinds kort toe dat hun werknemers de rechten (IP) op eigen werk mogen houden als ze die met bedrijfsmiddelen of onder werktijd hebben gemaakt, meldde QZ onlangs. Hiermee wijkt men werknemersvriendelijk af van de standaard in de VS: gebruikelijk daar is dat alle IP toekomt aan de werkgever van alles dat ook maar enigszins gerelateerd is aan het werk, of dat met een bedrijfsmiddel vervaardigd is. Met de Balanced Employee IP Agreement wil men een modeltekst voor andere werkgevers bieden. Zou dat ook in Nederland nodig zijn?

Allereerst meteen even een ergernis uit de weg: nee, IP bestaat niet en intellectueel eigendom ook niet. Die termen verwijzen naar een juridisch rechtsgebied, net zoals arbeidsrecht – maar we spreken niet van aantasting van je arbeidsrechten, we zeggen dat je te weinig vakantiedagen krijgt of dat de proeftijd in strijd met de wet is. Doe dat dus ook niet meer met “IE”: wil men auteursrechten hebben, octrooien of iets anders? (En dit is geen muggeziften, ik zie te veel contracten waarin “het IE” als een autonoom onderwerp wordt behandeld náást auteursrechten.)

Maar goed. Auteursrecht dan maar even. Volgens de wet (artikel 7 Auteurswet) komt, tenzij anders overeengekomen, het auteursrecht toe op wat de werknemer maakt in het kader van het dienstverband. Wij kennen dus geen criteria zoals “het moet onder werktijd zijn gemaakt” of “het moet in directe opdracht zijn gemaakt” of “er moet een werkcomputer zijn gebruikt”. In het weekend op je eigen laptop een ongevraagd rapport met aanbevelingen voor een betere testprocedure typen, maakt dat de werkgever daar het auteursrecht op heeft. Op werkdagen tussen 9 en 12 op de bedrijfscomputer een roman schrijven is waarschijnlijk plichtsverzuim maar de rechten op die roman heb je zelf.

Amerikaansrechtelijke brede claims op alles dat je doet tot 2 jaar na je ontslag, ongeacht tijdstip of middel, zijn dus tegen de wet bij ons. Afgezien van dat “tenzij anders overeengekomen” dan: je mag als werkgever en werknemer anders afspreken. Ik blijf erbij dat dat beide kanten op gaat (sorry Alex), als beiden willen afspreken dat ook privéprojecten werkgeverseigendom worden, dan moet dat contractueel kunnen. (Wel op schrift en met handtekening, in verband met artikel 2 Auteurswet.) Waarom je dat als werknemer zou tekenen is natuurlijk een andere vraag.

Een probleem daarbij is wel dat zo’n afspraak tegen het basale principe van kenbaarheid aanloopt. Een toekomstig auteursrecht afstaan kan namelijk alleen als het betreffende werk op voorhand voldoende kenbaar is. “Ik wil dat je een roman schrijft en ik wil daar de auteursrechten op” voldoet daar waarschijnlijk wel aan. Maar “ieder project dat jij de komende jaren start, wordt van mij” is écht te vaag.

Misschien als je het koppelt aan het werk: “alle projecten die verwant zijn aan producten/diensten die wij leveren, worden van ons”, dat is nog redelijk te toetsen. Alleen: wélke? Die men nu heeft? Of ook in de toekomst? En alleen van de afdeling waar meneer/mevrouw werkt, of het hele bedrijf? Wereldwijd? En hoe definieer je ‘verwant’? Ik denk dat het daar al snel op zal stranden.

Hoe dan ook, die BEIPA van Github lijkt me te Amerikaans specifiek. Als principe vind ik het wel een heel goed idee: laat werkgevers ook eens nadenken over wat creatieve werknemers naast het werk willen doen, en claim niet op voorhand daar de rechten op. Programmeren is niet alleen werk, het is ook gewoon leuk.

Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Arbeidsrecht, E-mail | 13 reacties

Een lezer vroeg me: Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot… Lees verder

Mogen wij aangekochte foto’s ook op Linkedin publiceren?

| AE 8883 | Arbeidsrecht, Auteursrecht | 5 reacties

Een lezer vroeg me: Bij ons bedrijf bloggen veel medewerkers, en daarbij plaatsen we dan foto’s uit betaalde beeldbanken. Die blogs zetten we ook door op bijvoorbeeld LinkedIn, maar mag dat eigenlijk wel? Zo’n LinkedInprofiel zien wij als eigendom van de medewerker, dus treden we dan niet buiten de licentie die voor ons bedrijf geldt?… Lees verder

Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

| AE 8865 | Arbeidsrecht, Software | 28 reacties

Een werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op… Lees verder