Mogen verse ouders de kraamverzorger in de gaten houden met de babycam?

| AE 11465 | Privacy | 35 reacties

Een lezer vroeg me:

Wij zijn een kraamzorgbureau met drie vaste verzorgenden. Recent kwam een van onze medewerkers bij een nieuwe cliënt thuis, die vertelde dat er diverse camera’s hingen om de baby te kunnen zien én, ik citeer, “om te zien wat de kraamverzorgende op een dag doet.” Dat voelde zeer onprettig dus zij heeft geëist dat de camera uit zou gaan. Er dreigt nu een conflict te ontstaan, hoe moeten we daarmee omgaan? En wat is wijsheid voor de toekomst?

Dit dilemma kom ik steeds vaker tegen, en ik moet zeggen dat ik het lastig vind een praktisch werkbaar compromis te bedenken.

Juridisch bekeken komt het neer op een afweging onder de AVG, maar die is nog knap ingewikkeld. Enerzijds mag je als privépersoon in je huis een camera inzetten ter beveiliging en surveillance, met de AVG heb je dan niets te maken want dat valt onder de uitzondering voor huishoudelijke verwerking. (Tenzij je Rynes héél breed leest en zegt, ook hier is een situatie dat de verwerking “buiten de privésfeer geraakt van degene die door middel van dit systeem gegevens verwerkt”.)

Anderzijds hoeft een werknemer niet te pikken dat zhij verplicht voor de camera gaat staan van een derde als dat niet voor het werk noodzakelijk is. Een goed werkgever moet hier waarborgen tegen genomen hebben – de recente Transavia-discussie over het fotograferen van stewardessen. Je kunt als werkgever dus niet makkelijk roepen, je gaat maar bij de klant voor de camera staan want je moet gewoon aan het werk. Ook niet als die klant als privépersoon die camera aan mag hebben staan.

Derderzijds kun je als werkgever niet zomaar alle klanten weigeren omdat ze een camera hebben, zeker niet in de kraamzorg, oppas en dergelijke dienstverlening waar de veiligheidszorgen erg groot zijn en de wens om een camera in te zetten dus zeer persoonlijk en stevig is. Je moet daar dus meer mee dan “die camera weg want m’n personeel d’r privacy gaat voor”.

Ik blijf erover peinzen en ik kom er niet uit. Ja, in je voorwaarden opnemen dat camera’s “in overleg” mogen worden ingezet en dat maatregelen tegen misbruik en excessen moeten worden genomen. Maar wat dan, ga je dan de klant z’n camera-setup controleren? Eis je dat encrypted harddisks met two-man-access-rule worden ingezet en dat terugkijken in aanwezigheid van de manager moet gebeuren?

Arnoud

Kan een it-werknemer worden ontslagen als hij ransomware binnenlaat?

| AE 11447 | Security | 25 reacties

Een lezer vroeg me:

Verschillende steden in de VS zijn met ransomware besmet geraakt omdat personeel een besmette e-mailbijlage opende. Nu heeft één van deze steden een it-medewerker ontslagen. Zou dat in Nederland kunnen, iemand ontslaan omdat zijn gedrag tot een infectie leidde, bijvoorbeeld omdat hij een bijlage opende of een update niet installeerde?

Het lijkt me uitermate onwaarschijnlijk dat in Nederland iemand wordt ontslagen enkel vanwege het feit dat door zijn handelen een ransomware-infectie uitbrak.

Natuurlijk is het bepaald slordig als je als werknemer een besmette e-mailbijlage opent, zeker als je op de it-afdeling werkt en dus (zo mag je vermoeden) enige kennis over it, beveiliging en risico’s hebt. Maar slordig je werk doen of onoplettend bezig zijn onder werktijd is simpelweg niet genoeg om tot ontslag over te mogen gaan. Of iets preciezer gezegd: één geval van disfunctioneren is geen reden voor ontslag.

Een disfunctionerende medewerker kun je in Nederland pas ontslaan als je het nodige hebt gedaan (https://www.arbeidsrechter.nl/disfunctioneren-van-de-werknemer-transitievergoeding-schorsing-ontbindingsprocedure) om verandering te brengen in het functioneren van de medewerker. De werkgever moet de medewerker daarbij expliciet informeren over wat er misgaat en hoe dat beter kan, en heeft een zorgplicht dat de werknemer dit ook werkelijk beter gaat doen. Bij it-gerelateerd disfunctioneren moet de medewerker dus op cursus, even kort door de bocht. En pas als hij daarna hardnekkig domme dingen blijft doen, kun je aan ontslag denken.

Ook helpt het behoorlijk bij een ontslagaanvraag om duidelijke regels gesteld te hebben, die dan zijn overtreden ondanks de training en awareness daarover die je als werkgever eraan hebt gegeven. (Enkel dus iets in een reglement zetten of via de mail mededelen is juridisch dus betekenisloos.)

Dan heb je ook nog de ontslag op staande voet, maar bij security incidenten moet iemand het dan wel héél bont hebben gemaakt wil je daartoe over kunnen gaan. Enkel een besmette bijlage openen -ook al ben je de security officer- zou ik als te weinig zien om dit paardenmiddel in te kunnen zetten. Al is het maar omdat een groot deel van de schade bij het bedrijf dan ook komt door gebrekkige beveiliging en backups, en ik het gevoel zou hebben dat het ontslag meer een vorm van afreageren is dan een daadwerkelijke proportionele respons op verwijtbaar handelen.

Arnoud

Mijn werkgever wil me op social media neerzetten, moet ik daaraan meewerken?

| AE 11428 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb-bedrijf met 14 man) wil dat wij allemaal onszelf op internet zetten. Op de bedrijfswebsite “zodat de klant weet wie er langskomt” en ook op social media, om onszelf te promoten. We moeten zelfs meedoen aan discussies op Linkedin. Na wat geruzie heeft een collega voorgesteld dat we toestemming geven (of niet) maar volgens mij is dat niet rechtsgeldig. Hoe moet het nu wel? Wanneer kan de werkgever dit verplichten?

Inderdaad is in beginsel toestemming van een werknemer niet rechtsgeldig. De AVG eist dat die vrijwillig wordt gegeven, en een werkgever die iets vraagt, dat komt altijd toch een tikkeltje gedwongen over. “Wil jij even die klant terugbellen” is geen vraag maar een bevel, beleefd geformuleerd. Dus vandaar dat je als werkgever niet met toestemming moet werken.

Als werkgever kun je wel mensen dingen opdragen die gewoon hun werk zijn. Dat is dan hetzij de grondslag uitvoering overeenkomst (het is nodig voor het werk) hetzij het eigen belang van de werkgever. In het eerste geval moet het dan echt nodig zijn voor het werk, in het tweede geval moet je als werkgever ook een belangenafweging maken of de privacy van de werknemer niet in het geding komt en hoe je dat kunt voorkomen.

Wanneer iets ‘nodig’ is voor het werk, is natuurlijk een stukje inschatting. Ik vind bijvoorbeeld dat iemand met een buitendienst-functie al snel met zijn foto op internet gezet kan worden, zodat de klanten weten wie er langskomt of met wie ze te maken hebben. Anno 2019 hoort dat gewoon bij het werk – uitvoering overeenkomst. Dit moet; ga op de foto en wel nu. Als vuistregel: vind je als werkgever dat je dit als dienstbevel kunt opdragen.

Promotie op social media is een belang van de werkgever, je wilt als bedrijf jezelf goed op de kaart zetten. Je hebt dan mensen nodig om je bedrijf te laten zien. Ik vind dat geen noodzaak voor het werk; poseren voor een foto is niet echt wérken. Ik vind niet dat ik mensen dat kan opdragen, dus daarom zou ik dit onder het kopje eigen noodzaak rekenen. Dan zeg ik, dit is wel heel belangrijk voor het werk dus ik wil als werkgever graag dat je dit doet, maar ik houd wel rekening met je persoonlijke levenssfeer.

Als werkgever moet je dan kijken hoe je uitkomt met de privacybelangen van de werknemer. Ik zou dan bijvoorbeeld kijken of de foto wellicht op de rug kan, of het gezicht wat geblurd kan worden et cetera. Vragen “vind je dit goed” is ook een goede maatregel in die context, en mensen die niet willen doen niet mee zonder verdere gevolgen. Daarmee zou het privacybezwaar minimaal moeten zijn.

Bij online discussies (zoals in Linkedingroepen) is dit iets lastiger. Je kunt daar moeilijk aan meedoen zonder naam, functietitel en foto. Dat is nu eenmaal de mores daar, en het heeft voor het bedrijf ook weinig zin als daar “Wim B” zonder functietitel en een chihuahua als foto gaat meedoen. De belangenafweging is dan ingewikkelder, ik weet eerlijk gezegd geen privacy-respecterende maatregelen in de situatie dat je met naam en foto het publieke domein moet betreden.

Dus ik denk dat je daar niet aan ontkomt het te moeten rechtvaardigen onder die noodzaak van het werk. Is het iemands werk om op Linkedin vragen te gaan beantwoorden? Zo ja, dan moet hij dat dus doen. En zo nee, dan kan het alleen op basis van vrijwilligheid – maar hoe je dat inkleedt als werkgever, dat zie ik niet.

Arnoud

Een werkgever mag vingerafdruk niet zomaar verplichten bij personeel

| AE 11437 | Ondernemingsvrijheid, Privacy | 18 reacties

Een schoenwinkel in Tilburg mag werknemers niet verplichten hun vingerafdruk af te staan voor het bedienen van de kassa. Dat las ik bij Tweakers. De rechtbank had geoordeeld dat vingerafdruksystemen grote risico’s meebrengen, en de noodzaak voor deze eis niet voldoende onderbouwd was. Daarom was dit vereiste in strijd met de AVG. En dat is… Lees verder

Je ex-werknemer mag zo snel mogelijk van de bedrijfsbus af

| AE 11347 | Ondernemingsvrijheid | 12 reacties

Tot hoe lang na uitdiensttreding mag je als werknemer worden ingezet als ‘gezicht’ van het bedrijf? Die vraag stond centraal in een conflict tussen een oud-werknemer van een pakketbezorger en de werkgever. Deze foto werd gebruikt bij persberichten over de dienst, maar op zeker moment ook aangebracht als foto op bezorgbussen en vrachtwagens. Daar maakte… Lees verder

Help, mijn marketeers zetten klanten op de foto op Linkedin!

| AE 11271 | Ondernemingsvrijheid | 10 reacties

Een lezer vroeg me: Recent kreeg ik als commercieel directeur bij een IT-adviesbureau een klacht van een klant: die zag zichzelf terug op een groepsfoto op Linkedin, gepost door een van mijn marketing/sales-medewerkers. De foto was gemaakt op een intern event bij ons waar ongeveer 40 klanten bij aanwezig waren. Weliswaar was het event openbaar… Lees verder

Activision betaalt medewerkers om zwangerschappen te volgen via gezondheidsapp

| AE 11239 | Ondernemingsvrijheid, Privacy | 6 reacties

Activision Blizzard betaalt vrouwelijke medewerkers om gegevens over hun vruchtbaarheid en zwangerschap in te voeren in de gezondheidsapp Ovia. Dat meldde Tweakers onlangs. De medewerkers die vrijwillig kiezen hieraan mee te doen, krijgen hiervoor dagelijks een kadokaart ter waarde van een dollar. De gegevens worden geanonimiseerd en als statistieken weergeven, met als doel -hou je… Lees verder

Mag mijn werkgever eisen dat ik mijn Excel model aan ze geef?

| AE 11189 | Intellectuele rechten | 16 reacties

Een lezer vroeg me: Ik heb ooit als zelfstandig ondernemer een Excel model gemaakt om op heel efficiënte manier investeringsanalyses te doen. Dit model gebruik ik sindsdien al jaren bij diverse werkgevers tot volle tevredenheid. Mijn huidige werkgever eist nu echter dat ik dit model aan hen beschikbaar stel, en dit dreigt een arbeidsconflict te… Lees verder