Nee, het coronavirus is geen ontheffing voor de AVG

| AE 11808 | Ondernemingsvrijheid, Privacy | 16 reacties

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle urls die bezocht worden en verdere activiteit op het apparaat.” De werkgever komt niet veel verder dan dat timetracking hoort bij thuiswerken en weet kennelijk niet wat die software doet. Dat is dus een probleem onder de AVG, en nee daar kom je niet mee weg omdat het een noodsituatie is en/of thuiswerken de enige optie gezien de kennelijke pandemie die zich in Nederland voordoet.

Toevallig las ik gisteren over WorkSmart, Amerikaanse software die zogenaamd de productie monitort maar in feite mensen de ziektewet in helpt:

… even using the bathroom in his own home required speed and strategy: he started watching for the green light of his webcam to blink before dashing down the hall to the bathroom, hoping he could finish in time before WorkSmart snapped another picture.

Het bedrijf achter deze software zegt dat het slechts een hulpmiddel is en dat bedrijven zelf na moeten denken hoe ze deze in willen zetten. Want als de software zegt dat iemand niet productief is, dan is dat natuurlijk reden voor een goed gesprek en geen manager koppelt aan zo’n handige indicatie een betalingsinhouding of negatieve beoordeling. Precies, zou ik ook zeggen als ik dat bedrijf was.

Mag het? Nee, natuurlijk niet. Ik zie in de draad mensen suggereren dat het zou mogen omdat het thuiswerken is en je toch iets moet om de productiviteit van je mensen in de gaten te houden. Nieuwsflash: je mag mensen sowieso al niet in de gaten houden op het werk, of je moet een héél goede reden hebben én de privacy-impact van de werknemers daarin meegenomen hebben.

En dat is tien keer zo erg thuis. In principe mág je thuis niet eens kijken hoe mensen hun werkplek ingericht hebben (en ja ondertussen ben je wel aansprakelijk als die werkplek niet arbocompliant is en mensen daardoor klachten krijgen). Dus waarom zou dat wel mogen omdat het een ict-middel is? Oh ja wacht, het is met de computer en dat is anders he. Dat is gewoon software die mensen monitort. Nee natuurlijk niet. Misschien moeten we aan de AVG een artikel toevoegen dat zegt “als het raar is wanneer een mannetje met een notitieblok het live doet, dan mag software het ook niet”.

Want nee, het elke tien minuten fotograferen van je personeel terwijl dat aan het werk is, dat krijg je echt niet rond onder de AVG. Ook niet als je zegt dat je geen ander middel hebt om hun productiviteit te meten. Want dat heb je wel, al is het maar de output die er ligt op vrijdagmiddag. Dus definieer maar een betere output metric en ga daar op sturen, zo moeilijk moet dat niet zijn als mensen in staat zijn om thuis te werken.

Arnoud

Hoe laat ik mijn werknemers het auteursrecht houden op hun hobbysoftware?

| AE 11728 | Intellectuele rechten | 34 reacties

Een lezer vroeg me:

Vorige week blogde je over een werknemer die bij StackOverflow bijdragen doet. In de discussie kwam toen langs hoe je als werknemer de rechten zou kunnen behouden. Ik ben werkgever en wil mijn mensen hierin vrij laten, maar hoe schrijf je zoiets op?

Als werknemer heb je inderdaad niet zomaar zelf de rechten op wat je programmeert, ook niet als je dat in je vrije tijd doet of op je eigen laptop. Het criterium is namelijk of dat werk werkgerelateerd was. Zeg maar of je werkgever je gewoon had kunnen opdragen om dat werk te maken.

Nog belangrijker is dus wat er in je contract staat, want je kunt afspraken maken die verder gaan dan dat. Ik ken bedrijven die zeggen, alles dat raakt aan enig product dat wij uitbrengen dat is van ons. Ben jij Apache webserver beheerder en programmeer je ’s avonds games, dan zijn die van ons want een andere divisie van ons programmeert al games. Dat kan, maar gaat wel ver.

(Het moet wel echt in je arbeidscontract staan, enkel een mededeling in een reglement of achteraf aangekondigd is niet mogelijk. Dit is iets dat vrijwillig moet worden afgesproken, niet eenzijdig kan worden bepaald.)

Het is natuurlijk ook mogelijk dat je als werkgever juist wel wil toestaan dat de werknemer hobbywerk doet dat in de buurt komt van het werk. Dat moet je dan wel even opschrijven, iets dat ook kan nadat het arbeidscontract al lang is getekend. Je stemt dan beiden in met een wijziging van het arbeidscontract, vaak gebeurt dat in een briefje (“side letter”) dat het contract aanvult.

Zo’n wijziging kan een specifieke toestemming bevatten, oftewel verwijzen naar één specifiek project, maar voor de vraagsteller is een algemene toestemming logischer. Dat kan relatief simpel:

Werknemer wordt hierbij toegestaan buiten werktijd en voor zover het werk hier niet onder lijdt, naar eigen inzicht te werken in samenwerkingsverbanden met als oogmerk het als open source aanbieden van software.

De term ‘toestemming’ is nodig omdat werknemers vaak een concurrentieverbod hebben. En een term als “opensourceprojecten” vind ik net te vaag, vandaar deze iets grotere mond vol. Het lijkt me wel belangrijk dat het gaat om aanbieden als open source, omdat je anders gewoon bij de concurrent kunt gaan werken en dat is vast niet de bedoeling. (Het “onder werktijd” kan er natuurlijk af, uiteindelijk is “voor zover het werk er niet onder lijdt” het belangrijkste.)

Dan krijg je juridisch de zenuwen als werkgever, want gaan ze nu gewoon alles inbrengen dat ze bij jou maken of te weten komen? En wat moet je met reputatieschade? Dat soort zorgen schrijf je er dan als aanvullingen (lid 2, 3 et cetera) achteraan:

Werknemer zal bij dergelijk werk de belangen van werkgever niet schaden. In geval van twijfel overleggen partijen vooraf. Voorts zal werknemer geen bedrijfsgeheimen van werkgever of reeds voor werkgever ontwikkelde software inbrengen in dergelijke samenwerkingsverbanden.

Bij die laatste is natuurlijk de crux hoe je zegt, je mag zelf dingen maken maar niet als dat eigenlijk van ons is – terwijl je nou net wil zeggen, die dingen zijn niet van ons. Dat kun je bijvoorbeeld zo doen:

Werknemer zal geen software inbrengen die zhij voor het werk heeft gemaakt of die zhij redelijkerwijs opgedragen zou kunnen worden te maken.

Een andere oplossing is dat je als werkgever wilt horen om welke projecten het gaat, en dan die per stuk goed- of afkeurt. Dat heeft als voordeel dat je per geval heel duidelijk weet waar je staat, maar als nadeel dat je dus niet spontaan iets nieuws kunt gaan doen:

Werknemer wordt hierbij toegestaan buiten werktijd en voor zover het werk hier niet onder lijdt, naar eigen inzicht te werken in de hieronder opgesomd samenwerkingsverbanden welke als oogmerk hebben het als open source aanbieden van software. Werknemer zal bij dergelijk werk de belangen van werkgever niet schaden. In geval van twijfel overleggen partijen vooraf. Voorts zal werknemer geen bedrijfsgeheimen van werkgever of reeds voor werkgever ontwikkelde software inbrengen in dergelijke samenwerkingsverbanden.

Dan heb je alleen nog een clausule nodig die zegt wanneer een nieuw project (“samenwerkingsverband”) wordt toegevoegd:

Op verzoek van werknemer zal werkgever een nieuw samenwerkingsverband toevoegen aan de opsomming hierboven. Een verzoek wordt alleen geweigerd als het verband concurreert met software van werkgever, als werkgever redelijkerwijs mag vrezen voor reputatieschade als bekend wordt dat werknemer daaraan deel zou nemen of als het waarschijnlijk is dat het werk hieronder zou lijden.

Dat zo’n project niet mag concurreren, lijkt me vrij logisch. De tweede eis is ook redelijk voor een werkgever: ook als je op persoonlijke titel ergens aan werkt, kan het afstralen op je werkgever als mensen de link ontdekken. En het werk kan lijden onder een hele grote rol in de privésfeer, dus ook dat lijkt mij een weigeringsgrond.

Wat zouden jullie als werknemer prefereren? Of als werkgever?

Arnoud

Ben ik strafbaar als ik in opdracht tijdelijk illegale software installeer?

| AE 11726 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me:

Onze organisatie gebruikt al jaren bepaalde software onder licentie. Deze blijkt enige maanden geleden te zijn verlopen en het heractiveren duurt om onduidelijke redenen heel erg lang. Mijn manager heeft me opgedragen dan maar tijdelijk een illegale versie te installeren zodat het werk niet blokkeert, en ze gaan dat rechttrekken in de onderhandelingen. Ben ik strafbaar als ik dat doe, of kan mijn werk dan alsnog de boete van de rechthebbende op mij verhalen?

Als werknemer ben je niet privé aansprakelijk voor je handelen dat je in opdracht doet, of het moet wel héél ver buiten “gewoon je werk doen” treden. Je handelt immers als vertegenwoordiger van het bedrijf, dus wat jij doet wordt je werk aangerekend.

Als je specifiek en expliciet discussie hebt gevoerd dat de software illegaal gebruikt gaat worden, dan zie ik die grens wel in beeld komen. Ik kan me niet voorstellen dat je dan wegkomt met “ik kreeg de opdracht dus ik doe het gewoon”.

Vaak zie je dat het eerder iets is van, we hebben een tijdelijke licentie gebruik die maar, of je collega is parttime HBO docent dus we gebruiken de educatieve licentie. Daar kun je over twisten of dat legaal is maar daarbij heeft de werkgever dan het laatste woord. Dat zou hier op kunnen gaan, omdat de werkgever aangeeft dat dit een tijdelijke oplossing is die men gaat melden aan de licentiegever (en kennelijk denkt voordelig recht te kunnen breien). Ik denk dat je daar als werknemer wel in mee moet gaan.

Mijn advies zou desondanks zijn om expliciet in de mail op schrift te krijgen dat men de illegale versie wil, onder verwijzing naar het mondelinge gesprek en de gevolgen die jij ziet. Of je stuurt het door naar de bedrijfsjurist met de vraag hoe jij die licentieovereenkomst vervolgens moet sluiten.

Arnoud

Mag ik mijn werknemers echt niet verplichten een tweefactorauthenticatieapp te installeren?

| AE 11630 | Ondernemingsvrijheid, Privacy | 30 reacties

Een lezer vroeg me: Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie in te voeren. Wij hebben hiervoor een breed bekende leverancier gevonden, die ons een simpele en privacyvriendelijke app beschikbaar stelt voor op de telefoons van medewerkers. Alleen: ik begrijp uit eerdere blogs dat… Lees verder

Rechter dwingt ex-werknemer om wachtwoord Facebookpagina af te staan

| AE 11562 | Ondernemingsvrijheid | 14 reacties

Een voormalig medewerkster van een dierenopvangtehuis moet het wachtwoord en beheer van een Facebookpagina overdragen aan haar voormalige werkgever, meldde Security.nl onlangs. Dit op gezag van de rechtbank Gelderland die dat bepaalde, versterkt met een dwangsom van 1000 euro per dag dat ze dit niet. De Facebookpagina was tijdens haar dienstverband aangemaakt en draagt de… Lees verder

Mogen verse ouders de kraamverzorger in de gaten houden met de babycam?

| AE 11465 | Privacy | 35 reacties

Een lezer vroeg me: Wij zijn een kraamzorgbureau met drie vaste verzorgenden. Recent kwam een van onze medewerkers bij een nieuwe cliënt thuis, die vertelde dat er diverse camera’s hingen om de baby te kunnen zien én, ik citeer, “om te zien wat de kraamverzorgende op een dag doet.” Dat voelde zeer onprettig dus zij… Lees verder

Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

| AE 11447 | Security | 25 reacties

Een lezer vroeg me: Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde? Het… Lees verder

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we… Lees verder

Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

| AE 11437 | Ondernemingsvrijheid, Privacy | 18 reacties

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is… Lees verder